Cette page décrit les règles de prévention et de détection incluses dans la version 1.0 de la stratégie prédéfinie pour Cloud Storage étendue. Cette stratégie comprend deux jeux de règles:
Un ensemble de règles qui inclut les règles d'administration qui s'appliquent à Cloud Storage.
Un ensemble de stratégies qui inclut les détecteurs Security Health Analytics qui s'appliquent à Cloud Storage.
Vous pouvez utiliser cette stratégie prédéfinie pour configurer une stratégie de sécurité protéger Cloud Storage. Pour déployer cette stratégie prédéfinie, vous devez personnaliser certaines stratégies pour qu'elles s'appliquent à votre environnement.
Contraintes liées aux règles d'administration
Le tableau suivant décrit les règles d'administration incluses dans cette stratégie.
Règle | Description | Norme de conformité |
---|---|---|
storage.publicAccessPrevention |
Cette règle empêche les buckets Cloud Storage ne sont plus ouverts au public non authentifié ; y accéder. La valeur est |
Contrôles NIST SP 800-53: AC-3, AC-17 et AC-20 |
storage.uniformBucketLevelAccess |
Ces règles empêche les buckets Cloud Storage d'utiliser une LCA par objet (un système distinct des stratégies IAM) pour fournir un accès, en assurant la cohérence des la gestion des accès et l'audit. La valeur est |
Contrôles NIST SP 800-53: AC-3, AC-17 et AC-20 |
storage.retentionPolicySeconds |
Cette contrainte définit la durée (en secondes) de la règle de conservation pour les buckets. Vous devez configurer cette valeur lorsque vous adoptez cette stratégie prédéfinie. |
Contrôle NIST SP 800-53: SI-12 |
Détecteurs Security Health Analytics
Le tableau suivant décrit les détecteurs Security Health Analytics inclus dans la stratégie prédéfinie. Pour en savoir plus sur ces détecteurs, consultez Faille résultats.
Nom du détecteur | Description |
---|---|
BUCKET_LOGGING_DISABLED |
Ce détecteur vérifie si la journalisation est activée sur un bucket de stockage. |
LOCKED_RETENTION_POLICY_NOT_SET |
Ce détecteur vérifie si une règle de conservation verrouillée est définie pour les journaux. |
OBJECT_VERSIONING_DISABLED |
Ce détecteur vérifie si la gestion des versions des objets est activée sur les buckets de stockage dotés de récepteurs. |
BUCKET_CMEK_DISABLED |
Ce détecteur vérifie si les buckets sont chiffrés à l'aide de clés de chiffrement gérées par le client (CMEK). |
BUCKET_POLICY_ONLY_DISABLED |
Ce détecteur vérifie si l'accès uniforme au niveau du bucket est configuré. |
PUBLIC_BUCKET_ACL |
Ce détecteur vérifie si un bucket est accessible publiquement. |
PUBLIC_LOG_BUCKET |
Ce détecteur vérifie si un bucket doté d'un récepteur de journaux est accessible publiquement. |
ORG_POLICY_LOCATION_RESTRICTION |
Ce détecteur vérifie si une ressource Compute Engine n'est pas conforme à la contrainte |
Définition YAML
Voici la définition YAML de la stratégie prédéfinie pour Cloud Storage.
name: organizations/123/locations/global/postureTemplates/cloud_storage_extended
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
description: 3 org policies that new customers can automatically enable.
policies:
- policy_id: Enforce Public Access Prevention
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.publicAccessPrevention
policy_rules:
- enforce: true
description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
- policy_id: Enforce uniform bucket-level access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.uniformBucketLevelAccess
policy_rules:
- enforce: true
description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
- policy_id: Retention policy duration in seconds
compliance_standards:
- standard: NIST SP 800-53
control: SI-12
constraint:
org_policy_constraint:
canned_constraint_id: storage.retentionPolicySeconds
policy_rules:
- enforce: true
description: This list constraint defines the set of durations for retention policies that can be set on Cloud Storage buckets. By default, if no organization policy is specified, a Cloud Storage bucket can have a retention policy of any duration. The list of allowed durations must be specified as a positive integer value greater than zero, representing the retention policy in seconds. Any insert, update, or patch operation on a bucket in the organization resource must have a retention policy duration that matches the constraint. Enforcement of this constraint is not retroactive. When a new organization policy is enforced, the retention policy of existing buckets remains unchanged and valid.
- policy_set_id: Cloud storage detective policy set
description: 8 SHA modules that new customers can automatically enable.
policies:
- policy_id: Bucket logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_LOGGING_DISABLED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Bucket CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_CMEK_DISABLED
- policy_id: Bucket policy only disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_POLICY_ONLY_DISABLED
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Org policy location restriction
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ORG_POLICY_LOCATION_RESTRICTION