Questa pagina è stata tradotta dall'API Cloud Translation.

Postura predefinita per sicurezza per impostazione predefinita, estesa

In questa pagina vengono descritte le norme preventive incluse nella versione 1.0 della postura predefinita per la sicurezza per impostazione predefinita, estesa. Questo la postura predefinita aiuta a prevenire gli errori di configurazione più comuni e la sicurezza problemi causati dalle impostazioni predefinite.

Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che aiuti proteggere dell'accesso a specifiche risorse Google Cloud. Se vuoi eseguire il deployment di questa postura predefinita, devi personalizzare alcuni dei criteri in modo che vengano applicati al tuo ambiente.

Norme	Descrizione	Standard di conformità
`iam.disableServiceAccountKeyCreation`	Questo vincolo impedisce agli utenti di creare chiavi permanenti per il servizio per ridurre il rischio di compromissione delle credenziali degli account di servizio. La il valore è `true` per disabilitare la creazione delle chiavi dell'account di servizio.	Controllo NIST SP 800-53: AC-2
`iam.automaticIamGrantsForDefaultServiceAccounts`	Questo vincolo impedisce agli account di servizio predefiniti di ricevere Editor del ruolo Identity and Access Management (IAM) eccessivamente permissivo al momento della creazione. La il valore è `false` per disabilitare le concessioni IAM automatiche per il servizio predefinito .	Controllo NIST SP 800-53: AC-3
`iam.disableServiceAccountKeyUpload`	Questo vincolo evita il rischio di perdita e riutilizzo del materiale delle chiavi personalizzate nell'account di servizio chiave. Il valore è `true` per disabilitare la chiave dell'account di servizio caricamenti.	Controllo NIST SP 800-53: AC-6
`storage.publicAccessPrevention`	Questo criterio impedisce Apertura al pubblico non autenticato dei bucket Cloud Storage l'accesso. Il valore è `true` per impedire l'accesso pubblico a bucket.	Controllo NIST SP 800-53: AC-3 e AC-6
`iam.allowedPolicyMemberDomains`	Questo criterio limita Criteri IAM per consentire solo le identità utente gestite per accedere alle risorse all'interno di questa organizzazione. Il valore è `directoryCustomerId` per limitare la condivisione tra domini.	Controllo NIST SP 800-53: AC-3, AC-6 e IA-2
`essentialcontacts.allowedContactDomains`	Queste norme limita i contatti necessari in modo che consentano solo le identità utente gestite ai domini selezionati per ricevere notifiche relative alla piattaforma. Il valore è `@google.com`. Devi modificare il valore in modo che corrisponda a dominio.	Controllo NIST SP 800-53: AC-3, AC-6 e IA-2
`storage.uniformBucketLevelAccess`	Queste norme impedisce ai bucket Cloud Storage di utilizzare l'ACL per ogni oggetto (un sistema separato dai criteri IAM) per fornire l'accesso, applicando la coerenza la gestione e il controllo degli accessi. Il valore è `true` da applicare accesso uniforme a livello di bucket.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.requireOsLogin`	Questo il criterio richiede OS Login sui server VM per gestire più facilmente le chiavi SSH e fornire autorizzazioni a livello di risorsa i criteri IAM e l'accesso degli utenti di log. Il valore è `true` per richiedere OS Login.	Controllo NIST SP 800-53: AC-3 e AU-12
`compute.disableSerialPortAccess`	Queste norme impedisce agli utenti di accedere alla porta seriale della VM che può essere utilizzata per la backdoor dal piano di controllo dell'API Compute Engine. Il valore è `true` per disabilitare l'accesso alla porta seriale della VM.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.restrictXpnProjectLienRemoval`	Questo criterio impedisce l'eliminazione accidentale dell'host del VPC condiviso limitando la rimozione dei blocchi. Il valore è `true` per limitare la rimozione dei blocchi sul progetto del VPC condiviso.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.vmExternalIpAccess`	Questo criterio impedisce di istanze Compute Engine con un indirizzo IP pubblico, esporli al traffico internet in entrata e a internet in uscita per via del traffico. Il valore è `denyAll` per disattivare tutti gli accessi da dagli indirizzi IP pubblici.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.skipDefaultNetworkCreation`	Questo il criterio disabilita la creazione automatica di una rete VPC predefinita e regole firewall in ogni nuovo progetto, assicurando che le regole di rete e del firewall siano creati intenzionalmente. Il valore è `true` per evitare di creare la rete VPC predefinita.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.setNewProjectDefaultToZonalDNSOnly`	Questo criterio impedisce agli sviluppatori di applicazioni di scegliere DNS legacy le impostazioni per le istanze di Compute Engine con minore affidabilità del servizio rispetto le moderne impostazioni DNS. Il valore è `Zonal DNS only` per i nuovi in modo programmatico a gestire i progetti.	Controllo NIST SP 800-53: AC-3 e AC-6
`sql.restrictPublicIp`	Questo criterio impedisce di istanze Cloud SQL con indirizzi IP pubblici, in grado di esporli al traffico internet in entrata e a internet in uscita per via del traffico. Il valore è `true` per limitare l'accesso a le istanze Cloud SQL per indirizzi IP pubblici.	Controllo NIST SP 800-53: AC-3 e AC-6
`sql.restrictAuthorizedNetworks`	Questo criterio impedisce di reti pubbliche o non RFC 1918, dall'accesso a Cloud SQL o Microsoft SQL Server. Il valore è `true` per limitare le reti autorizzate sulle istanze Cloud SQL.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.restrictProtocolForwardingCreationForTypes`	Questo criterio consente il forwarding del protocollo delle VM per gli indirizzi IP interni . Il valore è `INTERNAL` per limitare il forwarding del protocollo in base al tipo di indirizzo IP.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.disableVpcExternalIpv6`	Questo criterio impedisce la creazione di subnet IPv6 esterne, che possono essere esposte al traffico internet in entrata e in uscita. Il valore è `true` per disabilitare le subnet IPv6 esterne.	Controllo NIST SP 800-53: AC-3 e AC-6
`compute.disableNestedVirtualization`	Queste norme disabilita la virtualizzazione nidificata per ridurre i rischi per la sicurezza a causa di eventi nidificate. Il valore è `true` per disattivare la VM nidificata la virtualizzazione.	Controllo NIST SP 800-53: AC-3 e AC-6

Definizione YAML

Di seguito è riportata la definizione YAML della postura predefinita per le impostazioni predefinite.

name: organizations/123/locations/global/postureTemplates/secure_by_default
description: Posture Template to make your cloud environment more secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Secure-By-Default policy_set
  description: 18 org policies that new customers can automatically enable.
  policies:
  - policy_id: Disable service account key creation
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-2
    constraint:
      org_policy_constraint:
        canned_constraint_id: iam.disableServiceAccountKeyCreation
        policy_rules:
        - enforce: true
    description: Prevent users from creating persistent keys for service accounts to decrease the risk of exposed service account credentials.
  - policy_id: Disable Automatic IAM Grants for Default Service Accounts
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    constraint:
      org_policy_constraint:
        canned_constraint_id: iam.automaticIamGrantsForDefaultServiceAccounts
        policy_rules:
        - enforce: true
    description: Prevent default service accounts from receiving the overly-permissive IAM role Editor at creation.
  - policy_id: Disable Service Account Key Upload
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: iam.disableServiceAccountKeyUpload
        policy_rules:
        - enforce: true
    description: Avoid the risk of leaked and reused custom key material in service account keys.
  - policy_id: Enforce Public Access Prevention
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.publicAccessPrevention
        policy_rules:
        - enforce: true
    description: Enforce that Storage Buckets cannot be configured as open to unauthenticated public access.
  - policy_id: Domain restricted sharing
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    - standard: NIST SP 800-53
      control: IA-2
    constraint:
      org_policy_constraint:
        canned_constraint_id: iam.allowedPolicyMemberDomains
        policy_rules:
        - values:
            allowed_values:
            - directoryCustomerId
    description: Limit IAM policies to only allow managed user identities in my selected domain(s) to access resources inside this organization.
  - policy_id: Domain restricted contacts
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    - standard: NIST SP 800-53
      control: IA-2
    constraint:
      org_policy_constraint:
        canned_constraint_id: essentialcontacts.allowedContactDomains
        policy_rules:
        - values:
            allowed_values:
            - "@google.com"
    description: Limit Essential Contacts to only allow managed user identities in my selected domain(s) to receive platform notifications.
  - policy_id: Enforce uniform bucket-level access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: storage.uniformBucketLevelAccess
        policy_rules:
        - enforce: true
    description: Prevent GCS buckets from using per-object ACL (a separate system from IAM policies) to provide access, enforcing a consistency for access management and auditing.
  - policy_id: Require OS Login
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AU-12
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.requireOsLogin
        policy_rules:
        - enforce: true
    description: Require OS Login on newly created VMs to more easily manage SSH keys, provide resource-level permission with IAM policies, and log user access.
  - policy_id: Disable VM serial port access
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableSerialPortAccess
        policy_rules:
        - enforce: true
    description: Prevent users from accessing the VM serial port which can be used for backdoor access from the Compute Engine API control plane
  - policy_id: Restrict shared VPC project lien removal
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.restrictXpnProjectLienRemoval
        policy_rules:
        - enforce: true
    description: Prevent the accidental deletion of Shared VPC host projects by restricting the removal of project liens.
  - policy_id: Define allowed external IPs for VM instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.vmExternalIpAccess
        policy_rules:
        - deny_all: true
    description: Prevent the creation of Compute instances with a public IP, which can expose them to internet ingress and egress.
  - policy_id: Skip default network creation
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.skipDefaultNetworkCreation
        policy_rules:
        - enforce: true
    description: Disable the automatic creation of a default VPC network and default firewall rules in each new project, ensuring that my network and firewall rules are intentionally created.
  - policy_id: Sets the internal DNS setting for new projects to Zonal DNS Only
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.setNewProjectDefaultToZonalDNSOnly
        policy_rules:
        - enforce: true
    description: Set guardrails that application developers cannot choose legacy DNS settings for compute instances that have lower service reliability than modern DNS settings.
  - policy_id: Restrict Public IP access on Cloud SQL instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: sql.restrictPublicIp
        policy_rules:
        - enforce: true
    description: Prevent the creation of Cloud SQL instances with a public IP, which can expose them to internet ingress and egress.
  - policy_id: Restrict Authorized Networks on Cloud SQL instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: sql.restrictAuthorizedNetworks
        policy_rules:
        - enforce: true
    description: Prevent public or non-RFC 1918 network ranges from accessing my Cloud SQL databases.
  - policy_id: Restrict Protocol Forwarding Based on type of IP Address
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.restrictProtocolForwardingCreationForTypes
        policy_rules:
        - values:
            allowed_values:
            - INTERNAL
    description: Allow VM protocol forwarding for internal IP addresses only.
  - policy_id: Disable VPC External IPv6 usage
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableVpcExternalIpv6
        policy_rules:
        - enforce: true
    description: Prevent the creation of external IPv6 subnets, which can be exposed to internet ingress and egress.
  - policy_id: Disable VM nested virtualization
    compliance_standards:
    - standard: NIST SP 800-53
      control: AC-3
    - standard: NIST SP 800-53
      control: AC-6
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableNestedVirtualization
        policy_rules:
        - enforce: true
    description: Disable nested virtualization to decrease my security risk due to unmonitored nested instances.

Passaggi successivi

Crea una postura di sicurezza utilizzando questa postura predefinita.