Esta página descreve as políticas de prevenção e detetive incluídas no a versão v1.0 da postura predefinida do Cloud Storage estendida. Esta postura inclui dois conjuntos de políticas:
Um conjunto de políticas que inclui as políticas da organização Cloud Storage.
Um conjunto de políticas que inclui detectores da Análise de integridade da segurança aplicáveis a Cloud Storage.
É possível usar essa postura predefinida para configurar uma postura de segurança que ajude proteger o Cloud Storage. Se você quiser implantar essa postura predefinida, precisa personalizar algumas das políticas para que elas se apliquem ao seu ambiente.
Restrições da política da organização
A tabela a seguir descreve as políticas da organização incluídas em essa postura.
Política | Descrição | Padrão de conformidade |
---|---|---|
storage.publicAccessPrevention |
Essa política impede que os buckets do Cloud Storage sejam abertos ao público não autenticado acesso. O valor é |
Controle do NIST SP 800-53: AC-3, AC-17 e AC-20 |
storage.uniformBucketLevelAccess |
Esta política impede que os buckets do Cloud Storage usem ACL por objeto (um sistema separado das políticas do IAM) para fornecer acesso, aplicando consistência para o gerenciamento e a auditoria do acesso. O valor é |
Controle do NIST SP 800-53: AC-3, AC-17 e AC-20 |
storage.retentionPolicySeconds |
Essa restrição define a duração (em segundos) da política de retenção para buckets. Configure esse valor ao adotar essa postura predefinida. |
Controle do NIST SP 800-53: SI-12 |
Detectores do Security Health Analytics
A tabela a seguir descreve os detectores da Análise de integridade da segurança incluídos em a postura predefinida. Para mais informações sobre esses detectores, consulte Vulnerabilidade descobertas.
Nome do detector | Descrição |
---|---|
BUCKET_LOGGING_DISABLED |
Este detector verifica se há um bucket de armazenamento sem a geração de registros ativada. |
LOCKED_RETENTION_POLICY_NOT_SET |
Este detector verifica se a política de retenção bloqueada está definida para registros. |
OBJECT_VERSIONING_DISABLED |
Este detector verifica se o controle de versões de objetos está ativado em buckets de armazenamento com coletores. |
BUCKET_CMEK_DISABLED |
Esse detector verifica se os buckets estão criptografados usando chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês). |
BUCKET_POLICY_ONLY_DISABLED |
Este detector verifica se o acesso uniforme no nível do bucket está configurado. |
PUBLIC_BUCKET_ACL |
Este detector verifica se um bucket está acessível publicamente. |
PUBLIC_LOG_BUCKET |
Esse detector verifica se um bucket com um coletor de registros está acessível publicamente. |
ORG_POLICY_LOCATION_RESTRICTION |
Este detector verifica se um recurso do Compute Engine não está em compliance com a restrição |
Definição de YAML
Confira a seguir a definição de YAML para a postura predefinida do Cloud Storage.
name: organizations/123/locations/global/postureTemplates/cloud_storage_extended
description: Posture Template to make your Cloud storage workload secure.
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: Cloud storage preventative policy set
description: 3 org policies that new customers can automatically enable.
policies:
- policy_id: Enforce Public Access Prevention
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.publicAccessPrevention
policy_rules:
- enforce: true
description: This governance policy prevents access to existing and future resources via the public internet by disabling and blocking Access Control Lists (ACLs) and IAM permissions that grant access to allUsers and allAuthenticatedUsers.
- policy_id: Enforce uniform bucket-level access
compliance_standards:
- standard: NIST SP 800-53
control: AC-3
- standard: NIST SP 800-53
control: AC-17
- standard: NIST SP 800-53
control: AC-20
constraint:
org_policy_constraint:
canned_constraint_id: storage.uniformBucketLevelAccess
policy_rules:
- enforce: true
description: This boolean constraint requires buckets to use uniform bucket-level access where this constraint is set to TRUE.
- policy_id: Retention policy duration in seconds
compliance_standards:
- standard: NIST SP 800-53
control: SI-12
constraint:
org_policy_constraint:
canned_constraint_id: storage.retentionPolicySeconds
policy_rules:
- enforce: true
description: This list constraint defines the set of durations for retention policies that can be set on Cloud Storage buckets. By default, if no organization policy is specified, a Cloud Storage bucket can have a retention policy of any duration. The list of allowed durations must be specified as a positive integer value greater than zero, representing the retention policy in seconds. Any insert, update, or patch operation on a bucket in the organization resource must have a retention policy duration that matches the constraint. Enforcement of this constraint is not retroactive. When a new organization policy is enforced, the retention policy of existing buckets remains unchanged and valid.
- policy_set_id: Cloud storage detective policy set
description: 8 SHA modules that new customers can automatically enable.
policies:
- policy_id: Bucket logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_LOGGING_DISABLED
- policy_id: Locked retention policy not set
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: LOCKED_RETENTION_POLICY_NOT_SET
- policy_id: Object versioning disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: OBJECT_VERSIONING_DISABLED
- policy_id: Bucket CMEK disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_CMEK_DISABLED
- policy_id: Bucket policy only disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: BUCKET_POLICY_ONLY_DISABLED
- policy_id: Public bucket ACL
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_BUCKET_ACL
- policy_id: Public log bucket
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: PUBLIC_LOG_BUCKET
- policy_id: Org policy location restriction
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ORG_POLICY_LOCATION_RESTRICTION