Auf dieser Seite werden die Richtlinien zur Prävention und Erkennung von Bedrohungen beschrieben, die in Version v1.0 des vordefinierten Sicherheitsstatus für Cloud Storage, erweitert Diese Position enthält zwei Richtliniensätze:
Ein Richtliniensatz, der Organisationsrichtlinien enthält, die für Cloud Storage
Ein Richtliniensatz, der Security Health Analytics-Detektoren enthält, die auf Cloud Storage
Mit diesem vordefinierten Status können Sie einen Sicherheitsstatus konfigurieren, der um Cloud Storage zu schützen. Wenn Sie diesen vordefinierten Sicherheitsstatus bereitstellen möchten, müssen einige der Richtlinien anpassen, damit sie für Ihre Umgebung gelten.
Einschränkungen für Organisationsrichtlinien
In der folgenden Tabelle werden die Organisationsrichtlinien beschrieben, die in diese Haltung.
Policy | Beschreibung | Compliancestandard |
---|---|---|
storage.publicAccessPrevention |
Diese Richtlinie verhindert, Offen für nicht authentifizierte Cloud Storage-Buckets Zugriff haben. Der Wert lautet |
NIST SP 800-53-Steuerung: AC-3, AC-17 und AC-20 |
storage.uniformBucketLevelAccess |
Diese Richtlinie verhindert, dass Cloud Storage-Buckets eine ACL pro Objekt verwenden (ein separates System aus IAM-Richtlinien, um Zugriff zu gewähren und Konsistenz für Zugriffsverwaltung und Auditing. Der zu erzwingende Wert ist |
NIST SP 800-53-Steuerung: AC-3, AC-17 und AC-20 |
storage.retentionPolicySeconds |
Mit dieser Einschränkung wird die Dauer der Aufbewahrungsrichtlinie für Buckets in Sekunden definiert. Sie müssen diesen Wert konfigurieren, wenn Sie diesen vordefinierten Sicherheitsstatus übernehmen. |
NIST SP 800-53-Kontrolle: SI-12 |
Security Health Analytics – Detektoren
In der folgenden Tabelle werden die Detektoren von Security Health Analytics beschrieben, die in vordefinierter Sicherheitsstatus. Weitere Informationen zu diesen Detektoren finden Sie unter Sicherheitslücke Ergebnisse.
Detektorname | Beschreibung |
---|---|
BUCKET_LOGGING_DISABLED |
Dieser Detektor prüft, ob ein Storage-Bucket ohne aktiviertes Logging vorhanden ist. |
LOCKED_RETENTION_POLICY_NOT_SET |
Dieser Detektor prüft, ob die gesperrte Aufbewahrungsrichtlinie für Logs festgelegt ist. |
OBJECT_VERSIONING_DISABLED |
Dieser Detektor prüft, ob die Objektversionsverwaltung für Storage-Buckets mit Senken aktiviert ist. |
BUCKET_CMEK_DISABLED |
Dieser Detektor prüft, ob Buckets mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEKs) verschlüsselt sind. |
BUCKET_POLICY_ONLY_DISABLED |
Dieser Detektor prüft, ob ein einheitlicher Zugriff auf Bucket-Ebene konfiguriert ist. |
PUBLIC_BUCKET_ACL |
Dieser Detektor prüft, ob ein Bucket öffentlich zugänglich ist. |
PUBLIC_LOG_BUCKET |
Dieser Detektor prüft, ob ein Bucket mit einer Logsenke öffentlich zugänglich ist. |
ORG_POLICY_LOCATION_RESTRICTION |
Dieser Detektor prüft, ob eine Compute Engine-Ressource nicht der Einschränkung |
YAML-Definition
Im Folgenden finden Sie die YAML-Definition für den vordefinierten Sicherheitsstatus für Cloud Storage.
name: organizations/123/locations/global/postureTemplates/cloud_storage_extended
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
description: 3 org policies that new customers can automatically enable.
policies:
- policy_id: Enforce Public Access Prevention
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.publicAccessPrevention
policy_rules:
- enforce: true
description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
- policy_id: Enforce uniform bucket-level access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.uniformBucketLevelAccess
policy_rules:
- enforce: true
description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
- policy_id: Retention policy duration in seconds
compliance_standards:
- standard: NIST SP 800-53
control: SI-12
constraint:
org_policy_constraint:
canned_constraint_id: storage.retentionPolicySeconds
policy_rules:
- enforce: true
description: This list constraint defines the set of durations for retention policies that can be set on Cloud Storage buckets. By default, if no organization policy is specified, a Cloud Storage bucket can have a retention policy of any duration. The list of allowed durations must be specified as a positive integer value greater than zero, representing the retention policy in seconds. Any insert, update, or patch operation on a bucket in the organization resource must have a retention policy duration that matches the constraint. Enforcement of this constraint is not retroactive. When a new organization policy is enforced, the retention policy of existing buckets remains unchanged and valid.
- policy_set_id: Cloud storage detective policy set
description: 8 SHA modules that new customers can automatically enable.
policies:
- policy_id: Bucket logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_LOGGING_DISABLED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Bucket CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_CMEK_DISABLED
- policy_id: Bucket policy only disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_POLICY_ONLY_DISABLED
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Org policy location restriction
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ORG_POLICY_LOCATION_RESTRICTION