Esta página se ha traducido con Cloud Translation API.

Postura predefinida para Cloud Storage, ampliada

En esta página se describen las políticas preventivas y de detección que se incluyen en la versión 1.0 de la postura predefinida de Cloud Storage, ampliada. Esta postura incluye dos conjuntos de políticas:

Un conjunto de políticas que incluye políticas de la organización que se aplican a Cloud Storage.
Un conjunto de políticas que incluye detectores de Security Health Analytics que se aplican a Cloud Storage.

Puedes usar esta postura predefinida para configurar una postura de seguridad que ayude a proteger Cloud Storage. Si quieres implementar esta postura predefinida, debes personalizar algunas de las políticas para que se apliquen a tu entorno.

Restricciones de las políticas de organización

En la siguiente tabla se describen las políticas de la organización que se incluyen en esta postura.

Política Descripción Estándar de cumplimiento

Política	Descripción	Estándar de cumplimiento
`storage.publicAccessPrevention`	Esta política impide que los segmentos de Cloud Storage estén abiertos al acceso público sin autenticar. El valor es `true` para impedir el acceso público a los segmentos.	Control NIST SP 800-53: AC-3, AC-17 y AC-20
`storage.uniformBucketLevelAccess`	Esta política impide que los segmentos de Cloud Storage usen LCA por objeto (un sistema independiente de las políticas de gestión de identidades y accesos) para proporcionar acceso, lo que garantiza la coherencia de la gestión de acceso y la auditoría. El valor es `true` para aplicar el acceso uniforme a nivel de segmento.	Control NIST SP 800-53: AC-3, AC-17 y AC-20
`storage.retentionPolicySeconds`	Esta restricción define la duración (en segundos) de la política de retención de los segmentos. Debe configurar este valor cuando adopte esta postura predefinida.	Control NIST SP 800-53: SI-12

storage.publicAccessPrevention

Esta política impide que los segmentos de Cloud Storage estén abiertos al acceso público sin autenticar.

El valor es true para impedir el acceso público a los segmentos.

Control NIST SP 800-53: AC-3, AC-17 y AC-20

storage.uniformBucketLevelAccess

Esta política impide que los segmentos de Cloud Storage usen LCA por objeto (un sistema independiente de las políticas de gestión de identidades y accesos) para proporcionar acceso, lo que garantiza la coherencia de la gestión de acceso y la auditoría.

El valor es true para aplicar el acceso uniforme a nivel de segmento.

Control NIST SP 800-53: AC-3, AC-17 y AC-20

storage.retentionPolicySeconds

Esta restricción define la duración (en segundos) de la política de retención de los segmentos.

Debe configurar este valor cuando adopte esta postura predefinida.

Control NIST SP 800-53: SI-12

Detectores de Security Health Analytics

En la siguiente tabla se describen los detectores de Security Health Analytics que se incluyen en la postura predefinida. Para obtener más información sobre estos detectores, consulta Resultados de vulnerabilidades.

Nombre del detector	Descripción
`BUCKET_LOGGING_DISABLED`	Este detector comprueba si hay un segmento de almacenamiento sin el registro habilitado.
`LOCKED_RETENTION_POLICY_NOT_SET`	Este detector comprueba si se ha definido la política de conservación bloqueada para los registros.
`OBJECT_VERSIONING_DISABLED`	Este detector comprueba si la gestión de versiones de objetos está habilitada en los segmentos de almacenamiento con receptores.
`BUCKET_CMEK_DISABLED`	Este detector comprueba si los segmentos están cifrados con claves de cifrado gestionadas por el cliente (CMEK).
`BUCKET_POLICY_ONLY_DISABLED`	Este detector comprueba si se ha configurado el acceso uniforme a nivel de segmento.
`PUBLIC_BUCKET_ACL`	Este detector comprueba si se puede acceder públicamente a un segmento.
`PUBLIC_LOG_BUCKET`	Este detector comprueba si se puede acceder públicamente a un bucket con un receptor de registro.
`ORG_POLICY_LOCATION_RESTRICTION`	Este detector comprueba si un recurso de Compute Engine no cumple la restricción `constraints/gcp.resourceLocations`.

Ver la plantilla de postura

Para ver la plantilla de postura de Cloud Storage (ampliada), haga lo siguiente:

gcloud

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

ORGANIZATION_ID: el ID numérico de la organización

Ejecuta el comando gcloud scc posture-templates describe:

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

La respuesta contiene la plantilla de postura.

REST

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

ORGANIZATION_ID: el ID numérico de la organización

Método HTTP y URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Para enviar tu solicitud, despliega una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: En el siguiente comando se presupone que has iniciado sesión en la CLI de gcloud con tu cuenta de usuario ejecutando gcloud init o gcloud auth login , o bien usando Cloud Shell, que inicia sesión automáticamente en la CLI de gcloud . Para comprobar qué cuenta está activa, ejecuta gcloud auth list.

Ejecuta el comando siguiente:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended"

PowerShell (Windows)

Nota: El siguiente comando presupone que has iniciado sesión en la CLI de gcloud con tu cuenta de usuario ejecutando gcloud init o gcloud auth login . Para comprobar qué cuenta está activa, ejecuta gcloud auth list.

Ejecuta el comando siguiente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended" | Select-Object -Expand Content

La respuesta contiene la plantilla de postura.

Siguientes pasos

Crea una postura de seguridad con esta postura predefinida.

Postura predefinida para Cloud Storage, ampliada Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Restricciones de las políticas de organización

Detectores de Security Health Analytics

Ver la plantilla de postura

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Siguientes pasos

Postura predefinida para Cloud Storage, ampliada