預先定義的「預設採用安全設定」姿勢,適用於擴充功能

本頁說明預先定義的預設安全擴充狀態 (v1.0 版) 包含的預防性政策。這個預先定義的狀態有助於避免常見的設定錯誤,以及預設設定造成的常見安全性問題。

您可以使用這項預先定義的姿勢,設定有助於保護Google Cloud 資源的安全姿勢。如要部署這項預先定義的狀態,您必須自訂部分政策,使其適用於您的環境。

政策 說明 法規遵循標準
iam.disableServiceAccountKeyCreation

這項限制會禁止使用者為服務帳戶建立永久金鑰,降低服務帳戶憑證曝光的風險。

如要停用服務帳戶金鑰建立功能,請將值設為 true

NIST SP 800-53 控制措施:AC-2
iam.automaticIamGrantsForDefaultServiceAccounts

這項限制可防止預設服務帳戶在建立時,取得權限過於寬鬆的 Identity and Access Management (IAM) 角色「編輯者」。

如要停用預設服務帳戶的自動 IAM 授予功能,請將值設為 false

NIST SP 800-53 控制措施:AC-3
iam.disableServiceAccountKeyUpload

這項限制可避免服務帳戶金鑰中出現外洩和重複使用的自訂金鑰內容。

如要停用服務帳戶金鑰上傳功能,請將值設為 true

NIST SP 800-53 控制措施:AC-6
storage.publicAccessPrevention

這項政策可防止 Cloud Storage 值區開放未經驗證的公開存取權。

值為 true,可防止公開存取 bucket。

NIST SP 800-53 控制措施:AC-3 和 AC-6
iam.allowedPolicyMemberDomains

這項政策會限制 IAM 政策,僅允許所選網域中的受管理使用者存取這個機構內的資源。

這個值是 directoryCustomerId,可限制網域之間的共用。

NIST SP 800-53 控制措施:AC-3、AC-6 和 IA-2
essentialcontacts.allowedContactDomains

這項政策會限制「重要聯絡人」,僅允許所選網域中的受管理使用者接收平台通知。

值為 @google.com。您必須變更值,使其與網域相符。

NIST SP 800-53 控制措施:AC-3、AC-6 和 IA-2
storage.uniformBucketLevelAccess

這項政策可防止 Cloud Storage 值區使用個別物件 ACL (與 IAM 政策不同的系統) 提供存取權,確保存取權管理和稽核作業的一致性。

值為 true,表示強制執行統一值區層級存取權

NIST SP 800-53 控制措施:AC-3 和 AC-6
compute.requireOsLogin

這項政策規定新建立的 VM 必須啟用 OS 登入功能,方便您管理 SSH 金鑰、透過 IAM 政策提供資源層級權限,以及記錄使用者存取權。

值為 true,表示需要 OS 登入。

NIST SP 800-53 控制措施:AC-3 和 AU-12
compute.disableSerialPortAccess

這項政策可防止使用者存取 VM 序列埠,因為該埠可用於從 Compute Engine API 控制層進行後門存取。

如要停用 VM 序列埠存取權,請將值設為 true

NIST SP 800-53 控制措施:AC-3 和 AC-6
compute.restrictXpnProjectLienRemoval

這項政策會限制專案防刪除鎖定的移除作業,避免共用虛擬私有雲主專案遭到誤刪。

值為 true,可限制共用虛擬私有雲專案的防刪除鎖定移除作業。

NIST SP 800-53 控制措施:AC-3 和 AC-6
compute.vmExternalIpAccess

這項政策可防止建立具有公開 IP 位址的 Compute Engine 執行個體,避免執行個體接觸到網際網路的傳入和傳出流量。

值為 denyAll 時,系統會關閉所有公開 IP 位址的存取權。

NIST SP 800-53 控制措施:AC-3 和 AC-6
compute.skipDefaultNetworkCreation

這項政策會禁止在每個新專案中自動建立預設虛擬私有雲網路和預設防火牆規則,確保網路和防火牆規則是刻意建立的。

值為 true,可避免建立預設虛擬私有雲網路。

NIST SP 800-53 控制措施:AC-3 和 AC-6
compute.setNewProjectDefaultToZonalDNSOnly

這項政策會限制應用程式開發人員為 Compute Engine 執行個體選擇舊版 DNS 設定,因為這類設定的服務可靠性低於新版 DNS 設定。

新專案的值為 Zonal DNS only

NIST SP 800-53 控制措施:AC-3 和 AC-6
sql.restrictPublicIp

這項政策會禁止建立使用公開 IP 位址的 Cloud SQL 執行個體,避免執行個體接觸到網際網路的輸入和輸出流量。

值為 true,可限制透過公開 IP 位址存取 Cloud SQL 執行個體。

NIST SP 800-53 控制措施:AC-3 和 AC-6
sql.restrictAuthorizedNetworks

這項政策可防止公開或非 RFC 1918 網路範圍存取 Cloud SQL 資料庫。

值為 true,可限制 Cloud SQL 執行個體上的授權網路。

NIST SP 800-53 控制措施:AC-3 和 AC-6
compute.restrictProtocolForwardingCreationForTypes

這項政策只允許為內部 IP 位址執行 VM 通訊協定轉送。

值為 INTERNAL,可依據 IP 位址類型限制通訊協定轉送。

NIST SP 800-53 控制措施:AC-3 和 AC-6
compute.disableVpcExternalIpv6

這項政策可防止建立外部 IPv6 子網路,避免子網路暴露於網際網路傳入和傳出流量。

如要停用外部 IPv6 子網路,請將值設為 true

NIST SP 800-53 控制措施:AC-3 和 AC-6
compute.disableNestedVirtualization

這項政策會停用巢狀虛擬化,以降低未受監控的巢狀執行個體帶來的安全性風險。

值為 true,可關閉 VM 巢狀虛擬化。

NIST SP 800-53 控制措施:AC-3 和 AC-6

查看防護機制範本

如要查看「預設安全」和「擴充」的姿勢範本,請按照下列步驟操作:

gcloud

使用下方的任何指令資料之前,請先替換以下項目:

  • ORGANIZATION_ID:機構的數值 ID

執行 gcloud scc posture-templates describe 指令:

Linux、macOS 或 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

回覆會包含姿勢範本。

REST

使用任何要求資料之前,請先替換以下項目:

  • ORGANIZATION_ID:機構的數值 ID

HTTP 方法和網址:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended

如要傳送要求,請展開以下其中一個選項:

回覆會包含姿勢範本。

後續步驟