Auf dieser Seite werden die präventiven und erkennungsbezogenen Richtlinien beschrieben, die in der Version 1.0 der vordefinierten Haltung für VPC-Netzwerke (Virtual Private Cloud) enthalten sind. Diese Haltung umfasst zwei Richtliniensätze:
Eine Richtliniengruppe, die Einschränkungen von Organisationsrichtlinien enthält, die für VPC-Netzwerke gelten.
Eine Richtliniengruppe, die Security Health Analytics-Detektoren enthält, die für VPC-Netzwerke gelten.
Sie können diese vordefinierte Sicherheitskonfiguration verwenden, um eine Sicherheitskonfiguration zu konfigurieren, die zum Schutz von VPC-Netzwerken beiträgt. Sie können diese vordefinierte Positionierung ohne Änderungen bereitstellen.
Einschränkungen für Organisationsrichtlinien
In der folgenden Tabelle werden die Einschränkungen der Organisationsrichtlinie beschrieben, die in dieser Haltung enthalten sind.
Policy | Beschreibung | Compliancestandard |
---|---|---|
compute.skipDefaultNetworkCreation |
Mit dieser booleschen Einschränkung wird das automatische Erstellen eines Standard-VPC-Netzwerk und Standard-Firewallregeln in jedem neuen Projekt deaktiviert. So wird sichergestellt, dass Netzwerk- und Firewallregeln bewusst erstellt werden. Der Wert ist |
NIST SP 800-53-Kontrolle: SC-7 und SC-8 |
ainotebooks.restrictPublicIp |
Mit dieser booleschen Einschränkung wird der Zugriff auf neu erstellte Vertex AI Workbench-Notebooks und ‑Instanzen über öffentliche IP-Adressen eingeschränkt. Standardmäßig kann über öffentliche IP-Adressen auf Vertex AI Workbench-Notebooks und ‑Instanzen zugegriffen werden. Der Wert ist |
NIST SP 800-53-Kontrolle: SC-7 und SC-8 |
compute.disableNestedVirtualization |
Mit dieser booleschen Einschränkung wird die verschachtelte Virtualisierung für alle Compute Engine-VMs deaktiviert, um das Sicherheitsrisiko im Zusammenhang mit nicht überwachten verschachtelten Instanzen zu verringern. Der Wert ist |
NIST SP 800-53-Kontrolle: SC-7 und SC-8 |
Security Health Analytics – Detektoren
In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in der vordefinierten Haltung enthalten sind. Weitere Informationen zu diesen Detektoren finden Sie unter Erfasste Sicherheitslücken.
Detektorname | Beschreibung |
---|---|
FIREWALL_NOT_MONITORED |
Dieser Prüfmechanismus prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an VPC-Firewallregeln konfiguriert sind. |
NETWORK_NOT_MONITORED |
Dieser Prüfmechanismus prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert sind. |
ROUTE_NOT_MONITORED |
Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert sind. |
DNS_LOGGING_DISABLED |
Mit diesem Detektor wird geprüft, ob das DNS-Logging im VPC-Netzwerk aktiviert ist. |
FLOW_LOGS_DISABLED |
Dieser Detektor prüft, ob Flusslogs im VPC-Subnetz aktiviert sind. |
Vorlage für den Sicherheitsstatus ansehen
So rufen Sie die Vorlage für die Bewertung der Sicherheit für VPC-Netzwerke auf:
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
ORGANIZATION_ID
: die numerische ID der Organisation
Führen Sie den Befehl gcloud scc posture-templates
describe
aus:
Linux, macOS oder Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Die Antwort enthält die Vorlage für die Bewertung.
REST
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ORGANIZATION_ID
: die numerische ID der Organisation
HTTP-Methode und URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Vorlage für die Bewertung.