Diese Seite wurde von der Cloud Translation API übersetzt.

Vordefinierter Sicherheitsstatus für standardmäßige Sicherheitsfunktionen

Auf dieser Seite werden die vorbeugenden Richtlinien in Version 1.0 beschrieben. Version des vordefinierten Sicherheitsstatus (Essentials) Dieses verhindert, dass häufig Fehlkonfigurationen und Sicherheitsprobleme auftreten, in den Standardeinstellungen.

Mit diesem vordefinierten Status können Sie einen Sicherheitsstatus konfigurieren, der schützen Google Cloud-Ressourcen Sie können diesen vordefinierten Sicherheitsstatus ohne Änderungen vornehmen.

Policy	Beschreibung	Compliancestandards
`iam.disableServiceAccountKeyCreation`	Diese Einschränkung hindert Nutzer daran, persistente Schlüssel für den Dienst zu erstellen Konten, um das Risiko zu verringern, dass Anmeldedaten für Dienstkonten offengelegt werden. Die ist `true`, um das Erstellen von Dienstkontoschlüsseln zu deaktivieren.	NIST SP 800-53-Kontrolle: AC-2
`iam.automaticIamGrantsForDefaultServiceAccounts`	Diese Einschränkung verhindert, dass Standarddienstkonten den Bearbeiter von IAM-Rollen (Identity and Access Management) mit zu umfangreichen Berechtigungen bei der Erstellung. Die Der Wert ist `false`, um automatische IAM-Berechtigungen für den Standarddienst zu deaktivieren Konten.	NIST SP 800-53-Kontrolle: AC-3
`iam.disableServiceAccountKeyUpload`	Diese Einschränkung Verhindert das Risiko von gehackten und wiederverwendeten benutzerdefinierten Schlüsselmaterialien im Dienstkonto Schlüssel. Der Wert ist `true`, um den Dienstkontoschlüssel zu deaktivieren Uploads.	NIST SP 800-53-Kontrolle: AC-6
`storage.publicAccessPrevention`	Diese Richtlinie verhindert, Offen für nicht authentifizierte Cloud Storage-Buckets Zugriff haben. Der Wert lautet `true`, um den öffentlichen Zugriff auf Buckets.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`storage.uniformBucketLevelAccess`	Diese Richtlinie verhindert, dass Cloud Storage-Buckets eine ACL pro Objekt verwenden (ein separates System aus IAM-Richtlinien, um Zugriff zu gewähren und Konsistenz für Zugriffsverwaltung und Auditing. Der zu erzwingende Wert ist `true` Einheitlicher Zugriff auf Bucket-Ebene.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.requireOsLogin`	Dieses Richtlinie erfordert OS Login bei neu erstellten VMs ermöglichen eine einfachere Verwaltung von SSH-Schlüsseln sowie Berechtigungen auf Ressourcenebene mit IAM-Richtlinien und Log-Nutzerzugriff Der Wert ist `true`, um OS Login zu verlangen.	NIST SP 800-53-Kontrolle: AC-3 und AU-12
`compute.disableSerialPortAccess`	Diese Richtlinie Verhindert, dass Nutzer auf den seriellen VM-Port zugreifen, der als Backdoor verwendet werden kann über die Compute Engine API-Steuerungsebene. Der Wert ist `true`, um den Zugriff auf den seriellen VM-Port zu deaktivieren.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.restrictXpnProjectLienRemoval`	Diese Richtlinie verhindert das versehentliche Löschen des freigegebene VPC-Hosts indem Sie das Entfernen von Projektsperren einschränken. Der Wert ist `true`, um das Entfernen von Sperren für freigegebene VPC-Projekte einzuschränken.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.vmExternalIpAccess`	Diese Richtlinie verhindert, dass Compute Engine-Instanzen mit einer öffentlichen IP-Adresse erstellen, dem eingehenden und ausgehenden Internettraffic ausgesetzt sind. Zugriffe. Der Wert ist `denyAll`, damit der gesamte Zugriff deaktiviert wird von öffentliche IP-Adressen. Wenn Sie sie ändern möchten, damit bestimmte VM-Instanzen öffentlichen Zugriff haben, legen Sie die zulässigen Werte fest: policy_rules: - values: allowed_values: - is:projects/`PROJECT_ID`/zones/`ZONE`/instances/`INSTANCE`	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.skipDefaultNetworkCreation`	Dieses deaktiviert die automatische Erstellung eines VPC-Standardnetzwerks in jedem neuen Projekt verwenden, um sicherzustellen, dass Netzwerk- und Firewallregeln bewusst erstellt. Der Wert lautet `true`, damit keine dem Standard-VPC-Netzwerk.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.setNewProjectDefaultToZonalDNSOnly`	Diese Richtlinie hindert Anwendungsentwickler daran, Legacy-DNS zu wählen Einstellungen für Compute Engine-Instanzen mit einer geringeren Dienstzuverlässigkeit als modernen DNS-Einstellungen. Der Wert ist `Zonal DNS only` für neue Projekten.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`sql.restrictPublicIp`	Diese Richtlinie verhindert, dass mit öffentlichen IP-Adressen erstellen, dem eingehenden und ausgehenden Internettraffic ausgesetzt sind. Zugriffe. Der Wert ist `true`, um den Zugriff auf Cloud SQL-Instanzen nach öffentlichen IP-Adressen.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`sql.restrictAuthorizedNetworks`	Diese Richtlinie verhindert, öffentliche oder nicht-RFC 1918-Netzwerkbereiche für den Zugriff auf Cloud SQL Datenbanken. Der Wert ist `true`, um autorisierte Netzwerke einzuschränken auf Cloud SQL-Instanzen.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.restrictProtocolForwardingCreationForTypes`	Diese Richtlinie ermöglicht die VM-Protokollweiterleitung für interne IP-Adressen . Der Wert ist `INTERNAL`, um die Protokollweiterleitung einzuschränken basierend auf dem Typ der IP-Adresse.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.disableVpcExternalIpv6`	Diese Richtlinie verhindert das Erstellen externer IPv6-Subnetze, die dem ein- und ausgehenden Internet-Traffic ausgesetzt ist. Der Wert ist `true`, um externe IPv6-Subnetze zu deaktivieren.	NIST SP 800-53-Kontrolle: AC-3 und AC-6
`compute.disableNestedVirtualization`	Diese Richtlinie deaktiviert die verschachtelte Virtualisierung für alle Compute Engine-VMs, um das Sicherheitsrisiko in Bezug auf nicht überwachte verschachtelte Instanzen zu erstellen. Der Wert ist `true`, um die verschachtelte VM zu deaktivieren Virtualisierung.	NIST SP 800-53-Kontrolle: AC-3 und AC-6

YAML-Definition

Im Folgenden finden Sie die YAML-Definition für den vordefinierten Status für Standardeinstellungen.

name: organizations/123/locations/global/postureTemplates/secure_by_default_essential
description: Posture Template to make your cloud environment more secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Secure-By-Default policy_set
  description: 18 org policies that new customers can automatically enable.
  policies:
  - policy_id: Disable service account key creation
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-2
    constraint:
      org_policy_constraint:
        canned_constraint_id: iam.disableServiceAccountKeyCreation
        policy_rules:
        - enforce: true
    description: Prevent users from creating persistent keys for service accounts to decrease the risk of exposed service account credentials.
  - policy_id: Disable Automatic IAM Grants for Default Service Accounts
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    constraint:
      org_policy_constraint:
        canned_constraint_id: iam.automaticIamGrantsForDefaultServiceAccounts
        policy_rules:
        - enforce: true
    description: Prevent default service accounts from receiving the overly-permissive IAM role Editor at creation.
  - policy_id: Disable Service Account Key Upload
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: iam.disableServiceAccountKeyUpload
        policy_rules:
        - enforce: true
    description: Avoid the risk of leaked and reused custom key material in service account keys.
  - policy_id: Enforce Public Access Prevention
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.publicAccessPrevention
        policy_rules:
        - enforce: true
    description: Enforce that Storage Buckets cannot be configured as open to unauthenticated public access.
  - policy_id: Enforce uniform bucket-level access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.uniformBucketLevelAccess
        policy_rules:
        - enforce: true
    description: Prevent GCS buckets from using per-object ACL (a separate system from IAM policies) to provide access, enforcing a consistency for access management and auditing.
  - policy_id: Require OS Login
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AU-12
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.requireOsLogin
        policy_rules:
        - enforce: true
    description: Require OS Login on newly created VMs to more easily manage SSH keys, provide resource-level permission with IAM policies, and log user access.
  - policy_id: Disable VM serial port access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableSerialPortAccess
        policy_rules:
        - enforce: true
    description: Prevent users from accessing the VM serial port which can be used for backdoor access from the Compute Engine API control plane
  - policy_id: Restrict shared VPC project lien removal
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.restrictXpnProjectLienRemoval
        policy_rules:
        - enforce: true
    description: Prevent the accidental deletion of Shared VPC host projects by restricting the removal of project liens.
  - policy_id: Define allowed external IPs for VM instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.vmExternalIpAccess
        policy_rules:
        - deny_all: true
    description: Prevent the creation of Compute instances with a public IP, which can expose them to internet ingress and egress.
  - policy_id: Skip default network creation
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.skipDefaultNetworkCreation
        policy_rules:
        - enforce: true
    description: Disable the automatic creation of a default VPC network and default firewall rules in each new project, ensuring that my network and firewall rules are intentionally created.
  - policy_id: Sets the internal DNS setting for new projects to Zonal DNS Only
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.setNewProjectDefaultToZonalDNSOnly
        policy_rules:
        - enforce: true
    description: Set guardrails that application developers cannot choose legacy DNS settings for compute instances that have lower service reliability than modern DNS settings.
  - policy_id: Restrict Public IP access on Cloud SQL instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: sql.restrictPublicIp
        policy_rules:
        - enforce: true
    description: Prevent the creation of Cloud SQL instances with a public IP, which can expose them to internet ingress and egress.
  - policy_id: Restrict Authorized Networks on Cloud SQL instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: sql.restrictAuthorizedNetworks
        policy_rules:
        - enforce: true
    description: Prevent public or non-RFC 1918 network ranges from accessing my Cloud SQL databases.
  - policy_id: Restrict Protocol Forwarding Based on type of IP Address
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.restrictProtocolForwardingCreationForTypes
        policy_rules:
        - values:
            allowed_values:
            - INTERNAL
    description: Allow VM protocol forwarding for internal IP addresses only.
  - policy_id: Disable VPC External IPv6 usage
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableVpcExternalIpv6
        policy_rules:
        - enforce: true
    description: Prevent the creation of external IPv6 subnets, which can be exposed to internet ingress and egress.
  - policy_id: Disable VM nested virtualization
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableNestedVirtualization
        policy_rules:
        - enforce: true
    description: Disable nested virtualization to decrease my security risk due to unmonitored nested instances.

Nächste Schritte

Erstellen Sie mit diesem vordefinierten Status einen Sicherheitsstatus.