Postura predefinida para rede VPC, recursos essenciais

Esta página descreve as políticas preventivas e de detecção incluídas na versão v.1.0 da postura predefinida para redes de nuvem privada virtual (VPC), essenciais. Essa postura inclui dois conjuntos de políticas:

  • Um conjunto de políticas que inclui restrições de políticas da organização que se aplicam à rede VPC.

  • Um conjunto de políticas que inclui detectores do Security Health Analytics que se aplicam à rede VPC.

É possível usar essa postura predefinida para configurar uma postura de segurança que ajude a proteger a rede VPC. É possível implantar essa postura predefinida sem fazer nenhuma mudança.

Restrições da política da organização

A tabela a seguir descreve as restrições da política da organização que são incluídas nessa postura.

Política Descrição Padrão de conformidade
compute.skipDefaultNetworkCreation

Essa restrição booleana desativa a criação automática de uma rede VPC padrão e regras de firewall padrão em cada novo projeto, garantindo que as regras de rede e de firewall sejam criadas intencionalmente.

O valor é true para evitar a criação da rede VPC padrão.

Controle NIST SP 800-53: SC-7 e SC-8
ainotebooks.restrictPublicIp

Essa restrição booleana restringe o acesso de IP público a notebooks e instâncias recém-criadas do Vertex AI Workbench. Por padrão, os endereços IP públicos podem acessar os notebooks e as instâncias do Vertex AI Workbench.

O valor é true para restringir o acesso de IPs públicos em novos notebooks e instâncias do Vertex AI Workbench.

Controle NIST SP 800-53: SC-7 e SC-8
compute.disableNestedVirtualization

Essa restrição booleana desativa a virtualização aninhada para todas as VMs do Compute Engine para diminuir o risco de segurança relacionado a instâncias aninhadas não monitoradas.

O valor é true para desativar a virtualização aninhada da VM.

Controle NIST SP 800-53: SC-7 e SC-8

Detectores do Security Health Analytics

A tabela a seguir descreve os detectores da Security Health Analytics incluídos na postura predefinida. Para mais informações sobre esses detectores, consulte Descobertas de vulnerabilidade.

Nome do detector Descrição
FIREWALL_NOT_MONITORED

Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as alterações na regra do firewall da VPC.

NETWORK_NOT_MONITORED

Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar mudanças na rede VPC.

ROUTE_NOT_MONITORED

Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar mudanças na rota da rede VPC.

DNS_LOGGING_DISABLED

Esse detector verifica se a geração de registros de DNS está ativada na rede VPC.

FLOW_LOGS_DISABLED

Esse detector verifica se os registros de fluxo estão ativados na sub-rede da VPC.

Conferir o modelo de postura

Para conferir o modelo de postura para a rede VPC, siga estas etapas:

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORGANIZATION_ID: o ID numérico da organização

Execute o comando gcloud scc posture-templates describe:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

A resposta contém o modelo de postura.

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Para enviar a solicitação, expanda uma destas opções:

A resposta contém o modelo de postura.

A seguir