Questa pagina è stata tradotta dall'API Cloud Translation.

Postura predefinita per la sicurezza per impostazione predefinita, estesa

Questa pagina descrive i criteri preventivi inclusi nella versione 1.0 della posizione predefinita sicura per impostazione predefinita, estesa. Questa strategia predefinita aiuta a evitare errori di configurazione e problemi di sicurezza comuni causati dalle impostazioni predefinite.

Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che contribuisca a proteggere le risorse Google Cloud. Se vuoi implementare questa postura predefinita, devi personalizzare alcuni criteri in modo che si applichino al tuo ambiente.

Norme	Descrizione	Standard di conformità
`iam.disableServiceAccountKeyCreation`	Questo vincolo impedisce agli utenti di creare chiavi permanenti per gli account di servizio per ridurre il rischio di credenziali degli account di servizio esposte. Il valore è `true` per disattivare la creazione di chiavi dell'account di servizio.	Controllo NIST SP 800-53: AC-2
`iam.automaticIamGrantsForDefaultServiceAccounts`	Questo vincolo impedisce agli account di servizio predefiniti di ricevere il ruolo IAM Editor eccessivamente permissivo al momento della creazione. Il valore è `false` per disattivare le concessioni IAM automatiche per gli account di servizio predefiniti.	Controllo NIST SP 800-53: AC-3
`iam.disableServiceAccountKeyUpload`	Questo vincolo consente di evitare il rischio di fuga e riutilizzo del materiale delle chiavi personalizzate nelle chiavi degli account di servizio. Il valore è `true` per disattivare i caricamenti delle chiavi dell'account di servizio.	Controllo NIST SP 800-53: AC-6
`storage.publicAccessPrevention`	Questo criterio impedisce che i bucket Cloud Storage siano aperti all'accesso pubblico non autenticato. Il valore è `true` per impedire l'accesso pubblico ai bucket.	Controllo NIST SP 800-53: AC-3 e AC-6
`iam.allowedPolicyMemberDomains`	Questo criterio limita le policy IAM in modo da consentire solo alle identità utente gestite nei domini selezionati di accedere alle risorse all'interno di questa organizzazione. Il valore è `directoryCustomerId` per limitare la condivisione tra domini.	Controllo NIST SP 800-53: AC-3, AC-6 e IA-2
`essentialcontacts.allowedContactDomains`	Questo criterio limita i contatti necessari in modo da consentire solo alle identità utente gestite nei domini selezionati di ricevere notifiche della piattaforma. Il valore è `@google.com`. Devi modificare il valore in modo che corrisponda al tuo dominio.	Controllo NIST SP 800-53: AC-3, AC-6 e IA-2
`storage.uniformBucketLevelAccess`	Questo criterio impedisce ai bucket Cloud Storage di utilizzare ACL per oggetto (un sistema distinto dai criteri IAM) per fornire l'accesso, garantendo la coerenza per la gestione e il controllo degli accessi. Il valore è `true` per applicare l'accesso uniforme a livello di bucket.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.requireOsLogin`	Questo criterio richiede l'accesso all'OS sulle VM appena create per gestire più facilmente le chiavi SSH, fornire autorizzazioni a livello di risorsa con i criteri IAM e registrare l'accesso degli utenti. Il valore è `true` per richiedere lOS Login.	Controllo NIST SP 800-53: AC-3 e AU-12
`compute.disableSerialPortAccess`	Questo criterio impedisce agli utenti di accedere alla porta seriale della VM, che può essere utilizzata per l'accesso backdoor dal piano di controllo dell'API Compute Engine. Il valore è `true` per disattivare l'accesso alla porta seriale della VM.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.restrictXpnProjectLienRemoval`	Questa norma impedisce l'eliminazione accidentale dei progetti host con VPC condiviso limitando la rimozione dei blocchi sul progetto. Il valore è `true` per limitare la rimozione dei blocchi sul progetto del VPC condiviso.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.vmExternalIpAccess`	Questo criterio impedisce la creazione di istanze Compute Engine con un indirizzo IP pubblico, con conseguente rischio di esposizione al traffico internet in entrata e in uscita. Il valore è `denyAll` per disattivare tutto l'accesso da indirizzi IP pubblici.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.skipDefaultNetworkCreation`	Questo disattiva la creazione automatica di una rete VPC predefinita e di regole firewall predefinite in ogni nuovo progetto, garantendo che le regole di rete e firewall vengano create intenzionalmente. Il valore è `true` per evitare di creare la rete VPC predefinita.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.setNewProjectDefaultToZonalDNSOnly`	Questo criterio impedisce agli sviluppatori di applicazioni di scegliere impostazioni DNS legacy per le istanze Compute Engine con un'affidabilità del servizio inferiore rispetto alle impostazioni DNS moderne. Il valore è `Zonal DNS only` per i nuovi progetti.	Controllo NIST SP 800-53: AC-3 e AC-6
`sql.restrictPublicIp`	Questo criterio impedisce la creazione di istanze Cloud SQL con indirizzi IP pubblici, con conseguente rischio di esposizione al traffico internet in entrata e in uscita. Il valore è `true` per limitare l'accesso alle istanze Cloud SQL in base agli indirizzi IP pubblici.	Controllo NIST SP 800-53: AC-3 e AC-6
`sql.restrictAuthorizedNetworks`	Questo criterio impedisce agli intervalli di reti pubbliche o non RFC 1918 di accedere ai database Cloud SQL. Il valore è `true` per limitare le reti autorizzate nelle istanze Cloud SQL.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.restrictProtocolForwardingCreationForTypes`	Questo criterio consente l'inoltro del protocollo VM solo per gli indirizzi IP interni. Il valore è `INTERNAL` per limitare il forwarding di protocollo in base al tipo di indirizzo IP.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.disableVpcExternalIpv6`	Questo criterio impedisce la creazione di subnet IPv6 esterne, che possono essere esposte al traffico internet in entrata e in uscita. Il valore è `true` per disattivare le subnet IPv6 esterne.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.disableNestedVirtualization`	Questo criterio disattiva la virtualizzazione nidificata per ridurre il rischio per la sicurezza dovuto alle istanze nidificate non monitorate. Il valore è `true` per disattivare la virtualizzazione nidificata della VM.	Controllo NIST SP 800-53: AC-3 e AC-6

Visualizza il modello di postura

Per visualizzare il modello di conformità per la sicurezza per impostazione predefinita, esteso:

gcloud

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

ORGANIZATION_ID: l'ID numerico dell'organizzazione

Esegui il comando gcloud scc posture-templates describe:

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

La risposta contiene il modello di postura.

REST

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

ORGANIZATION_ID: l'ID numerico dell'organizzazione

Metodo HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Per inviare la richiesta, espandi una di queste opzioni:

curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended"

PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso alla CLI gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Esegui questo comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended" | Select-Object -Expand Content

La risposta contiene il modello di postura.

Passaggi successivi

Crea una strategia di sicurezza utilizzando questa strategia predefinita.