Cloud Storage 的預先定義姿勢 (擴充)

本頁說明 Cloud Storage 擴充預先定義安全狀況 1.0 版中包含的預防和偵測政策。這項姿勢包含兩組政策:

  • 包含適用於 Cloud Storage 的機構政策。

  • 政策集,內含適用於 Cloud Storage 的 Security Health Analytics 偵測工具。

您可以運用這項預先定義的狀態,設定有助於保護 Cloud Storage 的安全狀態。如要部署這項預先定義的狀態,您必須自訂部分政策,使其適用於您的環境。

機構政策限制

下表說明這項姿勢包含的機構政策。

政策 說明 法規遵循標準
storage.publicAccessPrevention

這項政策可防止 Cloud Storage 值區開放未經驗證的公開存取權。

值為 true,可防止公開存取 bucket。

NIST SP 800-53 控制措施:AC-3、AC-17 和 AC-20
storage.uniformBucketLevelAccess

這項政策可防止 Cloud Storage 值區使用個別物件 ACL (與 IAM 政策不同的系統) 提供存取權,確保存取權管理和稽核作業的一致性。

值為 true,表示強制執行統一值區層級存取權

NIST SP 800-53 控制措施:AC-3、AC-17 和 AC-20
storage.retentionPolicySeconds

這項限制定義了值區保留政策的時效 (以秒為單位)。

採用這項預先定義的姿勢時,您必須設定這個值。

NIST SP 800-53 控制措施:SI-12

安全狀態分析偵測工具

下表說明預先定義狀態中包含的安全性狀態分析偵測器。如要進一步瞭解這些偵測器,請參閱「安全漏洞發現項目」。

偵測工具名稱 說明
BUCKET_LOGGING_DISABLED

這項偵測工具會檢查是否有未啟用記錄功能的儲存空間 bucket。

LOCKED_RETENTION_POLICY_NOT_SET

這個偵測器會檢查是否已為記錄檔設定鎖定的保留政策。

OBJECT_VERSIONING_DISABLED

這個偵測器會檢查具有接收器的儲存空間值區是否已啟用物件版本管理功能。

BUCKET_CMEK_DISABLED

這個偵測器會檢查 bucket 是否使用客戶自行管理的加密金鑰 (CMEK) 加密。

BUCKET_POLICY_ONLY_DISABLED

這個偵測器會檢查是否已設定統一值區層級存取權。

PUBLIC_BUCKET_ACL

這項偵測工具會檢查 bucket 是否可公開存取。

PUBLIC_LOG_BUCKET

這個偵測器會檢查具有記錄接收器的值區是否可公開存取。

ORG_POLICY_LOCATION_RESTRICTION

這個偵測器會檢查 Compute Engine 資源是否違反 constraints/gcp.resourceLocations 限制。

查看防護機制範本

如要查看 Cloud Storage 擴充功能的安全狀態範本,請按照下列步驟操作:

gcloud

使用下方的任何指令資料之前,請先替換以下項目:

  • ORGANIZATION_ID:機構的數值 ID

執行 gcloud scc posture-templates describe 指令:

Linux、macOS 或 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

回覆會包含姿勢範本。

REST

使用任何要求資料之前,請先替換以下項目:

  • ORGANIZATION_ID:機構的數值 ID

HTTP 方法和網址:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

如要傳送要求,請展開以下其中一個選項:

回覆會包含姿勢範本。

後續步驟