Questa pagina descrive i criteri di prevenzione e rilevamento inclusi nella versione 1.0 della postura predefinita per le reti Virtual Private Cloud (VPC), elementi essenziali. Questa postura include due set di criteri:
Un insieme di criteri che include vincoli dei criteri dell'organizzazione che si applicano alla rete VPC.
Un set di criteri che include i rilevatori di Security Health Analytics applicabili a networking VPC.
Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che aiuti per proteggere il networking VPC. Puoi implementare questa postura predefinita senza apportare modifiche.
Vincoli dei criteri dell'organizzazione
La tabella seguente descrive i vincoli dei criteri dell'organizzazione inclusi in questa posizione.
| Norme | Descrizione | Standard di conformità |
|---|---|---|
compute.skipDefaultNetworkCreation |
Questo vincolo booleano disattiva la creazione automatica di una rete VPC predefinita e di regole firewall predefinite in ogni nuovo progetto, garantendo che le regole di rete e del firewall vengano create intenzionalmente. Il valore è
|
Controllo NIST SP 800-53: SC-7 e SC-8 |
ainotebooks.restrictPublicIp |
Questo vincolo booleano limita l'accesso degli IP pubblici alle istanze blocchi note e istanze di Vertex AI Workbench. Per impostazione predefinita, gli indirizzi IP pubblici possono accedere alle istanze e ai blocchi note di Vertex AI Workbench. Il valore è |
Controllo NIST SP 800-53: SC-7 e SC-8 |
compute.disableNestedVirtualization |
Questo vincolo booleano disattiva la virtualizzazione nidificata per tutte le VM Compute Engine per ridurre il rischio alla sicurezza correlato alle istanze nidificate non monitorate. Il valore è |
Controllo NIST SP 800-53: SC-7 e SC-8 |
Rilevatori Security Health Analytics
La tabella seguente descrive i rilevatori di Security Health Analytics inclusi nella posizione predefinita. Per ulteriori informazioni su questi rilevatori, vedi Vulnerabilità rilevate.
| Nome rilevatore | Descrizione |
|---|---|
FIREWALL_NOT_MONITORED |
Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole del firewall VPC. |
NETWORK_NOT_MONITORED |
Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC. |
ROUTE_NOT_MONITORED |
Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC. |
DNS_LOGGING_DISABLED |
Questo rilevatore controlla se il logging DNS è abilitato sulla rete VPC. |
FLOW_LOGS_DISABLED |
Questo rilevatore verifica se i log di flusso sono abilitati nella subnet VPC. |
Visualizza il modello di postura
Per visualizzare il modello di conformità per le reti VPC, gli elementi essenziali:
gcloud
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Esegui il comando
gcloud scc posture-templates
describe
:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
La risposta contiene il modello di postura.
REST
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Metodo HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta contiene il modello di postura.