Vordefinierte Haltung für VPC-Netzwerke, Grundlagen

Auf dieser Seite werden die präventiven und erkennungsbezogenen Richtlinien beschrieben, die in der Version 1.0 der vordefinierten Haltung für VPC-Netzwerke (Virtual Private Cloud) enthalten sind. Diese Haltung umfasst zwei Richtliniensätze:

  • Eine Richtliniengruppe, die Einschränkungen von Organisationsrichtlinien enthält, die für VPC-Netzwerke gelten.

  • Eine Richtliniengruppe, die Security Health Analytics-Detektoren enthält, die für VPC-Netzwerke gelten.

Sie können diese vordefinierte Sicherheitskonfiguration verwenden, um eine Sicherheitskonfiguration zu konfigurieren, die zum Schutz von VPC-Netzwerken beiträgt. Sie können diese vordefinierte Positionierung ohne Änderungen bereitstellen.

Einschränkungen für Organisationsrichtlinien

In der folgenden Tabelle werden die Einschränkungen der Organisationsrichtlinie beschrieben, die in dieser Haltung enthalten sind.

Policy Beschreibung Compliancestandard
compute.skipDefaultNetworkCreation

Mit dieser booleschen Einschränkung wird das automatische Erstellen eines Standard-VPC-Netzwerk und Standard-Firewallregeln in jedem neuen Projekt deaktiviert. So wird sichergestellt, dass Netzwerk- und Firewallregeln bewusst erstellt werden.

Der Wert ist true, um das Erstellen des Standard-VPC-Netzwerk zu vermeiden.

NIST SP 800-53-Kontrolle: SC-7 und SC-8
ainotebooks.restrictPublicIp

Mit dieser booleschen Einschränkung wird der Zugriff auf neu erstellte Vertex AI Workbench-Notebooks und ‑Instanzen über öffentliche IP-Adressen eingeschränkt. Standardmäßig kann über öffentliche IP-Adressen auf Vertex AI Workbench-Notebooks und ‑Instanzen zugegriffen werden.

Der Wert ist true, um den Zugriff über öffentliche IP-Adressen auf neue Vertex AI Workbench-Notebooks und ‑Instanzen einzuschränken.

NIST SP 800-53-Kontrolle: SC-7 und SC-8
compute.disableNestedVirtualization

Mit dieser booleschen Einschränkung wird die verschachtelte Virtualisierung für alle Compute Engine-VMs deaktiviert, um das Sicherheitsrisiko im Zusammenhang mit nicht überwachten verschachtelten Instanzen zu verringern.

Der Wert ist true, um die verschachtelte Virtualisierung von VMs zu deaktivieren.

NIST SP 800-53-Kontrolle: SC-7 und SC-8

Security Health Analytics – Detektoren

In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in der vordefinierten Haltung enthalten sind. Weitere Informationen zu diesen Detektoren finden Sie unter Erfasste Sicherheitslücken.

Detektorname Beschreibung
FIREWALL_NOT_MONITORED

Dieser Prüfmechanismus prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an VPC-Firewallregeln konfiguriert sind.

NETWORK_NOT_MONITORED

Dieser Prüfmechanismus prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert sind.

ROUTE_NOT_MONITORED

Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert sind.

DNS_LOGGING_DISABLED

Mit diesem Detektor wird geprüft, ob das DNS-Logging im VPC-Netzwerk aktiviert ist.

FLOW_LOGS_DISABLED

Dieser Detektor prüft, ob Flusslogs im VPC-Subnetz aktiviert sind.

Vorlage für den Sicherheitsstatus ansehen

So rufen Sie die Vorlage für die Bewertung der Sicherheit für VPC-Netzwerke auf:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORGANIZATION_ID: die numerische ID der Organisation

Führen Sie den Befehl gcloud scc posture-templates describe aus:

Linux, macOS oder Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Die Antwort enthält die Vorlage für die Bewertung.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORGANIZATION_ID: die numerische ID der Organisation

HTTP-Methode und URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Vorlage für die Bewertung.

Nächste Schritte