Reino: Environment
Esta sección incluye todo lo que está fuera del código fuente pero aun así es importante para la seguridad del producto que se está creando. Dado que todas las cuestiones incluidas en esta sección no están directamente relacionadas con el código fuente, las hemos separado de las demás secciones.
GCP Terraform Misconfiguration: Cloud Storage Bucket Uniform Access Disabled
Abstract
Una configuración de Terraform establece un cubo de almacenamiento de Google que permite el uso de listas de control de acceso para controlar los permisos.
Explanation
La mala gestión de los permisos aumenta el riesgo de acceso no autorizado o modificación de datos restringidos.
Para definir el permiso de usuario para acceder a depósitos y objetos en depósitos, Google Cloud Storage ofrece dos sistemas: Listas de control de acceso (ACL) y gestión de acceso e identidad (IAM). IAM se puede usar en todo Google Cloud, mientras que solo Cloud Storage admite ACL. Habilitar el acceso uniforme a nivel de depósito evita que las ACL otorguen permisos. Esto garantiza que IAM sea el único sistema para administrar todo el control de acceso a los recursos de Google Cloud.
Ejemplo 1: La siguiente configuración de Terraform permite el uso de ACL junto con IAM para otorgar acceso al depósito de almacenamiento configurando
Para definir el permiso de usuario para acceder a depósitos y objetos en depósitos, Google Cloud Storage ofrece dos sistemas: Listas de control de acceso (ACL) y gestión de acceso e identidad (IAM). IAM se puede usar en todo Google Cloud, mientras que solo Cloud Storage admite ACL. Habilitar el acceso uniforme a nivel de depósito evita que las ACL otorguen permisos. Esto garantiza que IAM sea el único sistema para administrar todo el control de acceso a los recursos de Google Cloud.
Ejemplo 1: La siguiente configuración de Terraform permite el uso de ACL junto con IAM para otorgar acceso al depósito de almacenamiento configurando
uniform_bucket_level_access como false.
resource "google_storage_bucket" "bucket-demo" {
...
uniform_bucket_level_access = false
...
}
References
[1] HashiCorp google_storage_bucket
[2] Google Cloud Uniform bucket-level access
[3] Google Cloud Organization policy constraints for Cloud Storage
[4] Standards Mapping - CIS Google Cloud Computing Platform Benchmark Recommendation 5.2
[5] Standards Mapping - Common Weakness Enumeration CWE ID 284
[6] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002121
[7] Standards Mapping - FIPS200 AC
[8] Standards Mapping - General Data Protection Regulation (GDPR) Access Violation
[9] Standards Mapping - NIST Special Publication 800-53 Revision 4 AC-2 Account Management (P1)
[10] Standards Mapping - NIST Special Publication 800-53 Revision 5 AC-2 Account Management
[11] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration
[12] Standards Mapping - OWASP Application Security Verification Standard 4.0 1.4.4 Access Control Architectural Requirements (L2 L3)
[13] Standards Mapping - OWASP Top 10 2017 A5 Broken Access Control
[14] Standards Mapping - OWASP Top 10 2021 A01 Broken Access Control
[15] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002880 CAT II
[16] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002880 CAT II
[17] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002880 CAT II
[18] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002880 CAT II
[19] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002880 CAT II
desc.structural.hcl.gcp_terraform_misconfiguration_cloud_storage_bucket_uniform_access_disabled