本頁說明 Cloud Storage 擴充預先定義安全狀況 1.0 版中包含的預防和偵測政策。這項姿勢包含兩組政策:
包含適用於 Cloud Storage 的機構政策。
政策集,內含適用於 Cloud Storage 的 Security Health Analytics 偵測工具。
您可以運用這項預先定義的狀態,設定有助於保護 Cloud Storage 的安全狀態。如要部署這項預先定義的狀態,您必須自訂部分政策,使其適用於您的環境。
機構政策限制
下表說明這項姿勢包含的機構政策。
政策 | 說明 | 法規遵循標準 |
---|---|---|
storage.publicAccessPrevention |
這項政策可防止 Cloud Storage 值區開放未經驗證的公開存取權。 值為 |
NIST SP 800-53 控制措施:AC-3、AC-17 和 AC-20 |
storage.uniformBucketLevelAccess |
這項政策可防止 Cloud Storage 值區使用個別物件 ACL (與 IAM 政策不同的系統) 提供存取權,確保存取權管理和稽核作業的一致性。 值為 |
NIST SP 800-53 控制措施:AC-3、AC-17 和 AC-20 |
storage.retentionPolicySeconds |
這項限制定義了值區保留政策的時效 (以秒為單位)。 採用這項預先定義的姿勢時,您必須設定這個值。 |
NIST SP 800-53 控制措施:SI-12 |
安全狀態分析偵測工具
下表說明預先定義狀態中包含的安全性狀態分析偵測器。如要進一步瞭解這些偵測器,請參閱「安全漏洞發現項目」。
偵測工具名稱 | 說明 |
---|---|
BUCKET_LOGGING_DISABLED |
這項偵測工具會檢查是否有未啟用記錄功能的儲存空間 bucket。 |
LOCKED_RETENTION_POLICY_NOT_SET |
這個偵測器會檢查是否已為記錄檔設定鎖定的保留政策。 |
OBJECT_VERSIONING_DISABLED |
這個偵測器會檢查具有接收器的儲存空間值區是否已啟用物件版本管理功能。 |
BUCKET_CMEK_DISABLED |
這個偵測器會檢查 bucket 是否使用客戶自行管理的加密金鑰 (CMEK) 加密。 |
BUCKET_POLICY_ONLY_DISABLED |
這個偵測器會檢查是否已設定統一值區層級存取權。 |
PUBLIC_BUCKET_ACL |
這項偵測工具會檢查 bucket 是否可公開存取。 |
PUBLIC_LOG_BUCKET |
這個偵測器會檢查具有記錄接收器的值區是否可公開存取。 |
ORG_POLICY_LOCATION_RESTRICTION |
這個偵測器會檢查 Compute Engine 資源是否違反 |
查看防護機制範本
如要查看 Cloud Storage 擴充功能的安全狀態範本,請按照下列步驟操作:
gcloud
使用下方的任何指令資料之前,請先替換以下項目:
-
ORGANIZATION_ID
:機構的數值 ID
執行
gcloud scc posture-templates
describe
指令:
Linux、macOS 或 Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
回覆會包含姿勢範本。
REST
使用任何要求資料之前,請先替換以下項目:
-
ORGANIZATION_ID
:機構的數值 ID
HTTP 方法和網址:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended
如要傳送要求,請展開以下其中一個選項:
回覆會包含姿勢範本。