Questa pagina descrive i criteri di prevenzione e rilevamento inclusi nella versione 1.0 della postura predefinita per Cloud Storage, estesa. Questa strategia include due insiemi di criteri:
Un insieme di criteri che include i criteri dell'organizzazione applicati a Cloud Storage.
Un insieme di criteri che include i rilevatori di Security Health Analytics che si applicano a Cloud Storage.
Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che contribuisca a proteggere Cloud Storage. Se vuoi implementare questa postura predefinita, devi personalizzare alcuni criteri in modo che si applichino al tuo ambiente.
Vincoli dei criteri dell'organizzazione
La tabella seguente descrive i criteri dell'organizzazione inclusi in questa posizione.
| Norme | Descrizione | Standard di conformità |
|---|---|---|
storage.publicAccessPrevention |
Questo criterio impedisce che i bucket Cloud Storage siano aperti all'accesso pubblico non autenticato. Il valore è |
Controllo NIST SP 800-53: AC-3, AC-17 e AC-20 |
storage.uniformBucketLevelAccess |
Questo criterio impedisce ai bucket Cloud Storage di utilizzare ACL per oggetto (un sistema distinto dai criteri IAM) per fornire l'accesso, garantendo la coerenza per la gestione e il controllo degli accessi. Il valore è |
Controllo NIST SP 800-53: AC-3, AC-17 e AC-20 |
storage.retentionPolicySeconds |
Questo vincolo definisce la durata (in secondi) del criterio di conservazione per i bucket. Devi configurare questo valore quando adotti questa postura predefinita. |
Controllo NIST SP 800-53: SI-12 |
Rilevamento di Security Health Analytics
La tabella seguente descrive i rilevatori di Security Health Analytics inclusi nella posizione predefinita. Per ulteriori informazioni su questi rilevatori, consulta Risultati delle vulnerabilità.
| Nome rilevatore | Descrizione |
|---|---|
BUCKET_LOGGING_DISABLED |
Questo rilevatore controlla se è presente un bucket di archiviazione senza il logging abilitato. |
LOCKED_RETENTION_POLICY_NOT_SET |
Questo rilevatore controlla se il criterio di conservazione bloccato è impostato per i log. |
OBJECT_VERSIONING_DISABLED |
Questo rilevatore controlla se il controllo delle versioni degli oggetti è abilitato nei bucket di archiviazione con i sink. |
BUCKET_CMEK_DISABLED |
Questo rilevatore controlla se i bucket sono criptati utilizzando le chiavi di crittografia gestite dal cliente (CMEK). |
BUCKET_POLICY_ONLY_DISABLED |
Questo rilevatore controlla se è configurato l'accesso uniforme a livello di bucket. |
PUBLIC_BUCKET_ACL |
Questo rilevatore controlla se un bucket è accessibile pubblicamente. |
PUBLIC_LOG_BUCKET |
Questo rilevatore controlla se un bucket con unsink di log è accessibile pubblicamente. |
ORG_POLICY_LOCATION_RESTRICTION |
Questo rilevatore controlla se una risorsa Compute Engine non è conforme al vincolo |
Visualizza il modello di postura
Per visualizzare il modello di conformità per Cloud Storage, esteso, segui questi passaggi:
gcloud
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Esegui il comando
gcloud scc posture-templates
describe:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
La risposta contiene il modello di postura.
REST
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Metodo HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il modello di postura.