Diese Seite wurde von der Cloud Translation API übersetzt.

Vordefinierte Haltung für Cloud Storage, erweitert

Auf dieser Seite werden die präventiven und aufdeckenden Richtlinien beschrieben, die in der Version 1.0 der vordefinierten erweiterten Konfiguration für Cloud Storage enthalten sind. Diese Haltung umfasst zwei Richtliniengruppen:

Ein Richtliniensatz, der Organisationsrichtlinien enthält, die für Cloud Storage gelten.
Ein Richtliniensatz, der Security Health Analytics-Detektoren enthält, die für Cloud Storage gelten.

Mit dieser vordefinierten Konfiguration können Sie eine Sicherheitskonfiguration erstellen, die Cloud Storage schützt. Wenn Sie diese vordefinierte Konfiguration bereitstellen möchten, müssen Sie einige der Richtlinien an Ihre Umgebung anpassen.

Einschränkungen für Organisationsrichtlinien

In der folgenden Tabelle werden die Organisationsrichtlinien beschrieben, die in dieser Konfiguration enthalten sind.

Richtlinie Beschreibung Compliancestandard

Richtlinie	Beschreibung	Compliancestandard
`storage.publicAccessPrevention`	Diese Richtlinie verhindert, dass Cloud Storage-Buckets für den öffentlichen Zugriff ohne Authentifizierung geöffnet werden. Der Wert ist `true`, um den öffentlichen Zugriff auf Buckets zu verhindern.	NIST SP 800-53-Kontrolle: AC-3, AC-17 und AC-20
`storage.uniformBucketLevelAccess`	Diese Richtlinie verhindert, dass für Cloud Storage-Buckets ACLs pro Objekt (ein separates System von IAM-Richtlinien) für den Zugriff verwendet werden. So wird die Konsistenz für die Zugriffsverwaltung und ‑prüfung erzwungen. Der Wert ist `true`, um den einheitlichen Zugriff auf Bucket-Ebene zu erzwingen.	NIST SP 800-53-Kontrolle: AC-3, AC-17 und AC-20
`storage.retentionPolicySeconds`	Mit dieser Einschränkung wird die Dauer (in Sekunden) für die Aufbewahrungsrichtlinie für Buckets definiert. Sie müssen diesen Wert konfigurieren, wenn Sie diese vordefinierte Haltung übernehmen.	NIST SP 800-53-Kontrolle: SI-12

storage.publicAccessPrevention

Diese Richtlinie verhindert, dass Cloud Storage-Buckets für den öffentlichen Zugriff ohne Authentifizierung geöffnet werden.

Der Wert ist true, um den öffentlichen Zugriff auf Buckets zu verhindern.

NIST SP 800-53-Kontrolle: AC-3, AC-17 und AC-20

storage.uniformBucketLevelAccess

Diese Richtlinie verhindert, dass für Cloud Storage-Buckets ACLs pro Objekt (ein separates System von IAM-Richtlinien) für den Zugriff verwendet werden. So wird die Konsistenz für die Zugriffsverwaltung und ‑prüfung erzwungen.

Der Wert ist true, um den einheitlichen Zugriff auf Bucket-Ebene zu erzwingen.

NIST SP 800-53-Kontrolle: AC-3, AC-17 und AC-20

storage.retentionPolicySeconds

Mit dieser Einschränkung wird die Dauer (in Sekunden) für die Aufbewahrungsrichtlinie für Buckets definiert.

Sie müssen diesen Wert konfigurieren, wenn Sie diese vordefinierte Haltung übernehmen.

NIST SP 800-53-Kontrolle: SI-12

Security Health Analytics – Detektoren

In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in der vordefinierten Konfiguration enthalten sind. Weitere Informationen zu diesen Detektoren finden Sie unter Ergebnisse zu Sicherheitslücken.

Detektorname	Beschreibung
`BUCKET_LOGGING_DISABLED`	Dieser Detektor prüft, ob ein Storage-Bucket ohne aktiviertes Logging vorhanden ist.
`LOCKED_RETENTION_POLICY_NOT_SET`	Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Logs festgelegt ist.
`OBJECT_VERSIONING_DISABLED`	Dieser Detektor prüft, ob die Objektversionsverwaltung für Storage-Buckets mit Senken aktiviert ist.
`BUCKET_CMEK_DISABLED`	Mit diesem Detector wird geprüft, ob Buckets mit vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) verschlüsselt sind.
`BUCKET_POLICY_ONLY_DISABLED`	Dieser Detektor prüft, ob der einheitliche Zugriff auf Bucket-Ebene konfiguriert ist.
`PUBLIC_BUCKET_ACL`	Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist.
`PUBLIC_LOG_BUCKET`	Dieser Detektor prüft, ob ein Bucket mit einer Logsenke öffentlich zugänglich ist.
`ORG_POLICY_LOCATION_RESTRICTION`	Dieser Detektor prüft, ob eine Compute Engine-Ressource gegen die Einschränkung `constraints/gcp.resourceLocations` verstößt.

Statusvorlage ansehen

So rufen Sie die Vorlage für die Sicherheitskonfiguration für Cloud Storage (erweitert) auf:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

ORGANIZATION_ID: die numerische ID der Organisation

Führen Sie den Befehl gcloud scc posture-templates describe aus:

Linux, macOS oder Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Die Antwort enthält die Vorlage für die Haltung.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

ORGANIZATION_ID: die numerische ID der Organisation

HTTP-Methode und URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch bei der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended" | Select-Object -Expand Content

Die Antwort enthält die Vorlage für die Haltung.

Nächste Schritte

Sicherheitsstatus mit diesem vordefinierten Status erstellen

Vordefinierte Haltung für Cloud Storage, erweitert Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Einschränkungen für Organisationsrichtlinien

Security Health Analytics – Detektoren

Statusvorlage ansehen

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

Nächste Schritte

Vordefinierte Haltung für Cloud Storage, erweitert