En esta página, se describen las políticas preventivas y de detección que se incluyen en la versión v1.0 de la postura predefinida para Cloud Storage, extendida. Esta postura incluye dos conjuntos de políticas:
Un conjunto de políticas que incluye políticas de la organización que se aplican a en Google Cloud Storage.
Un conjunto de políticas que incluye detectores de Security Health Analytics que se aplican a en Google Cloud Storage.
Puedes usar esta postura predefinida para configurar una postura de seguridad que ayude proteger Cloud Storage. Si quieres implementar esta postura predefinida, puedes debes personalizar algunas de las políticas para que se apliquen a tu entorno.
Restricciones de las políticas de la organización
En la siguiente tabla, se describen las políticas de la organización que se incluyen en esta postura.
Política | Descripción | Estándar de cumplimiento |
---|---|---|
storage.publicAccessPrevention |
Esta política impide que los buckets de Cloud Storage estén abiertos a datos públicos no autenticados el acceso a los datos. El valor es |
Control de NIST SP 800-53: AC-3, AC-17 y AC-20 |
storage.uniformBucketLevelAccess |
Esta política impide que los buckets de Cloud Storage usen LCA por objeto (un sistema de políticas de IAM) para proporcionar acceso y aplicar coherencia a la administración y auditoría de accesos. El valor es |
Control de NIST SP 800-53: AC-3, AC-17 y AC-20 |
storage.retentionPolicySeconds |
Esta restricción define la duración (en segundos) de la política de retención de los buckets. Debes configurar este valor cuando adoptes esta postura predefinida. |
Control de la SP 800-53 del NIST: SI-12 |
Detectores de estadísticas de estado de seguridad
En la siguiente tabla, se describen los detectores de Security Health Analytics que se incluyen en la postura predefinida. Para obtener más información sobre estos detectores, consulta Vulnerabilidad de análisis de datos.
Nombre del detector | Descripción |
---|---|
BUCKET_LOGGING_DISABLED |
Este detector verifica si hay un bucket de almacenamiento sin registro habilitado. |
LOCKED_RETENTION_POLICY_NOT_SET |
Este detector verifica si la política de retención bloqueada se configuró para los registros. |
OBJECT_VERSIONING_DISABLED |
Este detector verifica si el control de versiones de objetos está habilitado en los buckets de almacenamiento con receptores. |
BUCKET_CMEK_DISABLED |
Este detector verifica si los buckets están encriptados con claves de encriptación administradas por el cliente (CMEK). |
BUCKET_POLICY_ONLY_DISABLED |
Este detector verifica si se configuró el acceso uniforme a nivel de bucket. |
PUBLIC_BUCKET_ACL |
Este detector verifica si un bucket es de acceso público. |
PUBLIC_LOG_BUCKET |
Este detector verifica si un bucket con un receptor de registros es de acceso público. |
ORG_POLICY_LOCATION_RESTRICTION |
Este detector verifica si un recurso de Compute Engine no cumple con la restricción |
Definición de YAML
A continuación, se muestra la definición YAML de la postura predefinida para Cloud Storage.
name: organizations/123/locations/global/postureTemplates/cloud_storage_extended
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
description: 3 org policies that new customers can automatically enable.
policies:
- policy_id: Enforce Public Access Prevention
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.publicAccessPrevention
policy_rules:
- enforce: true
description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
- policy_id: Enforce uniform bucket-level access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.uniformBucketLevelAccess
policy_rules:
- enforce: true
description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
- policy_id: Retention policy duration in seconds
compliance_standards:
- standard: NIST SP 800-53
control: SI-12
constraint:
org_policy_constraint:
canned_constraint_id: storage.retentionPolicySeconds
policy_rules:
- enforce: true
description: This list constraint defines the set of durations for retention policies that can be set on Cloud Storage buckets. By default, if no organization policy is specified, a Cloud Storage bucket can have a retention policy of any duration. The list of allowed durations must be specified as a positive integer value greater than zero, representing the retention policy in seconds. Any insert, update, or patch operation on a bucket in the organization resource must have a retention policy duration that matches the constraint. Enforcement of this constraint is not retroactive. When a new organization policy is enforced, the retention policy of existing buckets remains unchanged and valid.
- policy_set_id: Cloud storage detective policy set
description: 8 SHA modules that new customers can automatically enable.
policies:
- policy_id: Bucket logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_LOGGING_DISABLED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Bucket CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_CMEK_DISABLED
- policy_id: Bucket policy only disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_POLICY_ONLY_DISABLED
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Org policy location restriction
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ORG_POLICY_LOCATION_RESTRICTION