Halaman ini menjelaskan kebijakan preventif dan detektif yang disertakan dalam versi 1.0 postur yang telah ditentukan sebelumnya untuk Cloud Storage, diperluas. Postur ini mencakup dua set kebijakan:
Kumpulan kebijakan yang mencakup kebijakan organisasi yang berlaku untuk Cloud Storage.
Kumpulan kebijakan yang mencakup detektor Security Health Analytics yang berlaku untuk Cloud Storage.
Anda dapat menggunakan postur yang telah ditentukan sebelumnya ini untuk mengonfigurasi postur keamanan yang membantu melindungi Cloud Storage. Jika ingin men-deploy postur keamanan yang telah ditentukan sebelumnya ini, Anda harus menyesuaikan beberapa kebijakan agar berlaku untuk lingkungan Anda.
Batasan kebijakan organisasi
Tabel berikut menjelaskan kebijakan organisasi yang disertakan dalam postur ini.
| Kebijakan | Deskripsi | Standar kepatuhan |
|---|---|---|
storage.publicAccessPrevention |
Kebijakan ini mencegah bucket Cloud Storage terbuka untuk akses publik yang tidak diautentikasi. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3, AC-17, dan AC-20 |
storage.uniformBucketLevelAccess |
Kebijakan ini mencegah bucket Cloud Storage menggunakan ACL per objek (sistem terpisah dari kebijakan IAM) untuk memberikan akses, sehingga memastikan konsistensi untuk pengelolaan akses dan audit. Nilainya adalah |
Kontrol NIST SP 800-53: AC-3, AC-17, dan AC-20 |
storage.retentionPolicySeconds |
Batasan ini menentukan durasi (dalam detik) untuk kebijakan retensi bucket. Anda harus mengonfigurasi nilai ini saat menerapkan postur yang telah ditentukan ini. |
Kontrol NIST SP 800-53: SI-12 |
Detektor Security Health Analytics
Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam postur keamanan yang telah ditentukan. Untuk mengetahui informasi selengkapnya tentang detektor ini, lihat Temuan kerentanan.
| Nama pendeteksi | Deskripsi |
|---|---|
BUCKET_LOGGING_DISABLED |
Detektor ini memeriksa apakah ada bucket penyimpanan tanpa mengaktifkan logging. |
LOCKED_RETENTION_POLICY_NOT_SET |
Detektor ini memeriksa apakah kebijakan retensi yang dikunci ditetapkan untuk log. |
OBJECT_VERSIONING_DISABLED |
Detektor ini memeriksa apakah pembuatan versi objek diaktifkan pada bucket penyimpanan dengan sink. |
BUCKET_CMEK_DISABLED |
Detektor ini memeriksa apakah bucket dienkripsi menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). |
BUCKET_POLICY_ONLY_DISABLED |
Detektor ini memeriksa apakah akses level bucket yang seragam dikonfigurasi. |
PUBLIC_BUCKET_ACL |
Detektor ini memeriksa apakah bucket dapat diakses secara publik. |
PUBLIC_LOG_BUCKET |
Detektor ini memeriksa apakah bucket dengan sink log dapat diakses secara publik. |
ORG_POLICY_LOCATION_RESTRICTION |
Detektor ini memeriksa apakah resource Compute Engine tidak mematuhi batasan |
Melihat template postur
Untuk melihat template postur untuk Cloud Storage, diperluas, lakukan hal berikut:
gcloud
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
-
ORGANIZATION_ID: ID numerik organisasi
Jalankan perintah
gcloud scc posture-templates
describe:
Linux, macOS, atau Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Respons berisi template postur.
REST
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
-
ORGANIZATION_ID: ID numerik organisasi
Metode HTTP dan URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Respons berisi template postur.