このページでは、Cloud Storage の事前定義された対策の v1.0 バージョンに含まれる予防的ポリシーと検出ポリシーの基本事項について説明します。この対策には、次の 2 つのポリシーセットが含まれています。
Cloud Storage に適用される組織のポリシーを含むポリシーセット。
Cloud Storage に適用される Security Health Analytics 検出機能を含むポリシーセット。
この事前定義された対策を使用して、Cloud Storage の保護に役立つセキュリティ対策を構成できます。この事前定義済みの対策は、変更を加えることなくデプロイできます。
組織ポリシーの制約
次の表は、この対策に含まれる組織のポリシーを示しています。
ポリシー | 説明 | コンプライアンスの標準 |
---|---|---|
storage.publicAccessPrevention |
このポリシーは、Cloud Storage バケットが未認証の公開アクセスに対して開かれることを防止します。 値は |
NIST SP 800-53 コントロール: AC-3、AC-17、AC-20 |
storage.uniformBucketLevelAccess |
このポリシーは、オブジェクトごとの ACL(IAM ポリシーとは別のシステム)を使用して Cloud Storage バケットへのアクセスが提供されるのを防ぎ、アクセス管理と監査に整合性をもたらします。 均一なバケットレベルのアクセスを適用する場合、値は |
NIST SP 800-53 コントロール: AC-3、AC-17、AC-20 |
Security Health Analytics の検出機能
次の表に、事前定義された対策に含まれる Security Health Analytics 検出機能を示します。これらの検出機能の詳細については、脆弱性の検出結果をご覧ください。
検出項目の名前 | 説明 |
---|---|
BUCKET_LOGGING_DISABLED |
この検出機能は、ロギングが有効になっていないストレージ バケットがあるかどうかを確認します。 |
LOCKED_RETENTION_POLICY_NOT_SET |
この検出機能は、ロックされた保持ポリシーがログに設定されているかどうかを確認します。 |
OBJECT_VERSIONING_DISABLED |
この検出機能は、シンクがあるストレージ バケットでオブジェクトのバージョニングが有効になっているかどうかを確認します。 |
BUCKET_CMEK_DISABLED |
この検出機能は、顧客管理の暗号鍵(CMEK)を使用してバケットが暗号化されているかどうかを確認します。 |
BUCKET_POLICY_ONLY_DISABLED |
この検出機能は、均一なバケットレベルのアクセスが構成されているかどうかを確認します。 |
PUBLIC_BUCKET_ACL |
この検出機能は、バケットが一般公開されているかどうかを確認します。 |
PUBLIC_LOG_BUCKET |
この検出機能は、ログシンクを含むバケットが一般公開されているかどうかを確認します。 |
ORG_POLICY_LOCATION_RESTRICTION |
この検出機能は、Compute Engine リソースが |
YAML の定義
Cloud Storage の事前定義された対策の YAML 定義は次のとおりです。
name: organizations/123/locations/global/postureTemplates/cloud_storage_essential
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
description: 2 org policies that new customers can automatically enable.
policies:
- policy_id: Enforce Public Access Prevention
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.publicAccessPrevention
policy_rules:
- enforce: true
description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
- policy_id: Enforce uniform bucket-level access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.uniformBucketLevelAccess
policy_rules:
- enforce: true
description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
- policy_set_id: Cloud storage detective policy set
description: 8 SHA modules that new customers can automatically enable.
policies:
- policy_id: Bucket logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_LOGGING_DISABLED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Bucket CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_CMEK_DISABLED
- policy_id: Bucket policy only disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_POLICY_ONLY_DISABLED
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Org policy location restriction
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ORG_POLICY_LOCATION_RESTRICTION