Postur yang telah ditentukan sebelumnya untuk jaringan VPC, esensial

Halaman ini menjelaskan kebijakan pencegahan dan pendeteksian yang disertakan dalam postur yang telah ditetapkan untuk jaringan Virtual Private Cloud (VPC) versi v.1.0. Postur ini mencakup dua kumpulan kebijakan:

  • Kumpulan kebijakan yang menyertakan batasan kebijakan organisasi yang berlaku untuk jaringan VPC.

  • Kumpulan kebijakan yang menyertakan detektor Security Health Analytics yang berlaku untuk jaringan VPC.

Anda dapat menggunakan postur standar ini untuk mengonfigurasi postur keamanan yang membantu melindungi jaringan VPC. Anda dapat men-deploy postur standar ini tanpa melakukan perubahan apa pun.

Batasan kebijakan organisasi

Tabel berikut menjelaskan batasan kebijakan organisasi yang disertakan dalam postur ini.

Kebijakan Deskripsi Standar kepatuhan
compute.skipDefaultNetworkCreation

Batasan boolean ini menonaktifkan pembuatan otomatis jaringan VPC default dan aturan firewall default di setiap project baru, sehingga memastikan bahwa jaringan dan aturan firewall dibuat secara sengaja.

Nilainya adalah true untuk menghindari pembuatan jaringan VPC default.

Kontrol NIST SP 800-53: SC-7 dan SC-8
ainotebooks.restrictPublicIp

Batasan boolean ini membatasi akses IP publik ke notebook dan instance Vertex AI Workbench yang baru dibuat. Secara default, alamat IP publik dapat mengakses notebook dan instance Vertex AI Workbench.

Nilainya adalah true untuk membatasi akses IP publik di notebook dan instance Vertex AI Workbench baru.

Kontrol NIST SP 800-53: SC-7 dan SC-8
compute.disableNestedVirtualization

Batasan boolean ini menonaktifkan virtualisasi bertingkat untuk semua VM Compute Engine guna mengurangi risiko keamanan yang terkait dengan instance bertingkat yang tidak dipantau.

Nilainya adalah true untuk menonaktifkan virtualisasi bertingkat VM.

Kontrol NIST SP 800-53: SC-7 dan SC-8

Detektor Security Health Analytics

Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam postur yang telah ditentukan. Untuk informasi selengkapnya tentang pendeteksi ini, lihat Temuan kerentanan.

Nama pendeteksi Deskripsi
FIREWALL_NOT_MONITORED

Detektor ini memeriksa apakah metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan aturan firewall VPC.

NETWORK_NOT_MONITORED

Detektor ini memeriksa apakah metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan jaringan VPC.

ROUTE_NOT_MONITORED

Detektor ini memeriksa apakah metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC.

DNS_LOGGING_DISABLED

Detektor ini memeriksa apakah logging DNS diaktifkan di jaringan VPC.

FLOW_LOGS_DISABLED

Detektor ini memeriksa apakah log alur diaktifkan di subjaringan VPC.

Melihat template postur

Untuk melihat template postur untuk jaringan VPC, lakukan hal berikut:

gcloud

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi

Jalankan perintah gcloud scc posture-templates describe:

Linux, macOS, atau Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Respons berisi template postur.

REST

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi

Metode HTTP dan URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi template postur.

Langkah selanjutnya