本頁說明預先定義的預設安全擴充狀態 (v1.0 版) 包含的預防性政策。這個預先定義的狀態有助於避免常見的設定錯誤,以及預設設定造成的常見安全性問題。
您可以使用這項預先定義的姿勢,設定有助於保護Google Cloud 資源的安全姿勢。如要部署這項預先定義的狀態,您必須自訂部分政策,使其適用於您的環境。
| 政策 | 說明 | 法規遵循標準 |
|---|---|---|
iam.disableServiceAccountKeyCreation |
這項限制會禁止使用者為服務帳戶建立永久金鑰,降低服務帳戶憑證曝光的風險。 如要停用服務帳戶金鑰建立功能,請將值設為 |
NIST SP 800-53 控制措施:AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
這項限制可防止預設服務帳戶在建立時,取得權限過於寬鬆的 Identity and Access Management (IAM) 角色「編輯者」。 如要停用預設服務帳戶的自動 IAM 授予功能,請將值設為 |
NIST SP 800-53 控制措施:AC-3 |
iam.disableServiceAccountKeyUpload |
這項限制可避免服務帳戶金鑰中出現外洩和重複使用的自訂金鑰內容。 如要停用服務帳戶金鑰上傳功能,請將值設為 |
NIST SP 800-53 控制措施:AC-6 |
storage.publicAccessPrevention |
這項政策可防止 Cloud Storage 值區開放未經驗證的公開存取權。 值為 |
NIST SP 800-53 控制措施:AC-3 和 AC-6 |
iam.allowedPolicyMemberDomains |
這項政策會限制 IAM 政策,僅允許所選網域中的受管理使用者存取這個機構內的資源。 這個值是 |
NIST SP 800-53 控制措施:AC-3、AC-6 和 IA-2 |
essentialcontacts.allowedContactDomains |
這項政策會限制「重要聯絡人」,僅允許所選網域中的受管理使用者接收平台通知。 值為 |
NIST SP 800-53 控制措施:AC-3、AC-6 和 IA-2 |
storage.uniformBucketLevelAccess |
這項政策可防止 Cloud Storage 值區使用個別物件 ACL (與 IAM 政策不同的系統) 提供存取權,確保存取權管理和稽核作業的一致性。 值為 |
NIST SP 800-53 控制措施:AC-3 和 AC-6 |
compute.requireOsLogin |
這項政策規定新建立的 VM 必須啟用 OS 登入功能,方便您管理 SSH 金鑰、透過 IAM 政策提供資源層級權限,以及記錄使用者存取權。 值為 |
NIST SP 800-53 控制措施:AC-3 和 AU-12 |
compute.disableSerialPortAccess |
這項政策可防止使用者存取 VM 序列埠,因為該埠可用於從 Compute Engine API 控制層進行後門存取。 如要停用 VM 序列埠存取權,請將值設為 |
NIST SP 800-53 控制措施:AC-3 和 AC-6 |
compute.restrictXpnProjectLienRemoval |
這項政策會限制專案防刪除鎖定的移除作業,避免共用虛擬私有雲主專案遭到誤刪。 值為 |
NIST SP 800-53 控制措施:AC-3 和 AC-6 |
compute.vmExternalIpAccess |
這項政策可防止建立具有公開 IP 位址的 Compute Engine 執行個體,避免執行個體接觸到網際網路的傳入和傳出流量。 值為 |
NIST SP 800-53 控制措施:AC-3 和 AC-6 |
compute.skipDefaultNetworkCreation |
這項政策會禁止在每個新專案中自動建立預設虛擬私有雲網路和預設防火牆規則,確保網路和防火牆規則是刻意建立的。 值為 |
NIST SP 800-53 控制措施:AC-3 和 AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
這項政策會限制應用程式開發人員為 Compute Engine 執行個體選擇舊版 DNS 設定,因為這類設定的服務可靠性低於新版 DNS 設定。 新專案的值為 |
NIST SP 800-53 控制措施:AC-3 和 AC-6 |
sql.restrictPublicIp |
這項政策會禁止建立使用公開 IP 位址的 Cloud SQL 執行個體,避免執行個體接觸到網際網路的輸入和輸出流量。 值為 |
NIST SP 800-53 控制措施:AC-3 和 AC-6 |
sql.restrictAuthorizedNetworks |
這項政策可防止公開或非 RFC 1918 網路範圍存取 Cloud SQL 資料庫。 值為 |
NIST SP 800-53 控制措施:AC-3 和 AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
這項政策只允許為內部 IP 位址執行 VM 通訊協定轉送。 值為 |
NIST SP 800-53 控制措施:AC-3 和 AC-6 |
compute.disableVpcExternalIpv6 |
這項政策可防止建立外部 IPv6 子網路,避免子網路暴露於網際網路傳入和傳出流量。 如要停用外部 IPv6 子網路,請將值設為 |
NIST SP 800-53 控制措施:AC-3 和 AC-6 |
compute.disableNestedVirtualization |
這項政策會停用巢狀虛擬化,以降低未受監控的巢狀執行個體帶來的安全性風險。 值為 |
NIST SP 800-53 控制措施:AC-3 和 AC-6 |
查看防護機制範本
如要查看「預設安全」和「擴充」的姿勢範本,請按照下列步驟操作:
gcloud
使用下方的任何指令資料之前,請先替換以下項目:
-
ORGANIZATION_ID:機構的數值 ID
執行
gcloud scc posture-templates
describe
指令:
Linux、macOS 或 Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
回覆會包含姿勢範本。
REST
使用任何要求資料之前,請先替換以下項目:
-
ORGANIZATION_ID:機構的數值 ID
HTTP 方法和網址:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
如要傳送要求,請展開以下其中一個選項:
回覆會包含姿勢範本。