このページでは、Virtual Private Cloud(VPC)ネットワーキングの事前定義された対策の v.1.0 バージョンに含まれる予防的ポリシーと検出ポリシー、基本事項について説明します。この対策には、次の 2 つのポリシーセットが含まれています。
VPC ネットワーキングに適用される組織のポリシーの制約を含むポリシーセット。
VPC ネットワーキングに適用される Security Health Analytics 検出機能を含むポリシーセット。
この事前定義された対策を使用して、VPC ネットワーキングの保護に役立つセキュリティ対策を構成できます。この事前定義済みの対策は、変更を加えることなくデプロイできます。
組織ポリシーの制約
次の表は、この対策に含まれる組織のポリシーの制約を示しています。
| ポリシー | 説明 | コンプライアンスの標準 |
|---|---|---|
compute.skipDefaultNetworkCreation |
このブール制約により、新しい各プロジェクトでのデフォルトの VPC ネットワークとデフォルトのファイアウォール ルールの自動作成が無効になり、ネットワークとファイアウォールのルールが意図したとおりに作成されます。 デフォルトの VPC ネットワークが作成されないようにする場合、値は |
NIST SP 800-53 コントロール: SC-7、SC-8 |
ainotebooks.restrictPublicIp |
このブール制約では、新しく作成された Vertex AI Workbench のノートブックとインスタンスへのパブリック IP アクセスが制限されます。デフォルトでは、パブリック IP アドレスから Vertex AI Workbench のノートブックとインスタンスにアクセスできます。 新しい Vertex AI Workbench のノートブックとインスタンスでパブリック IP アクセスを制限する場合、値は |
NIST SP 800-53 コントロール: SC-7、SC-8 |
compute.disableNestedVirtualization |
このブール制約は、すべての Compute Engine VM でネストされた仮想化を無効にして、モニタリングされていないネストされたインスタンスに関連するセキュリティ リスクを軽減します。 VM ネストされた仮想化を無効にする場合、値は |
NIST SP 800-53 コントロール: SC-7 および SC-8 |
Security Health Analytics の検出機能
次の表に、事前定義された対策に含まれる Security Health Analytics 検出機能を示します。これらの検出機能の詳細については、脆弱性の検出結果をご覧ください。
| 検出項目の名前 | 説明 |
|---|---|
FIREWALL_NOT_MONITORED |
この検出機能では、ログ指標とアラートが VPC ファイアウォール ルールの変更をモニタリングするように構成されていないかどうかを確認します。 |
NETWORK_NOT_MONITORED |
この検出機能は、ログ指標とアラートが VPC ネットワークの変更をモニタリングするように構成されていないかどうかを確認します。 |
ROUTE_NOT_MONITORED |
この検出機能は、ログ指標とアラートが VPC ネットワーク ルートの変更をモニタリングするように構成されていないかどうかを確認します。 |
DNS_LOGGING_DISABLED |
この検出機能は、VPC ネットワークで DNS ロギングが有効になっているかどうかを確認します。 |
FLOW_LOGS_DISABLED |
この検出機能は、VPC サブネットワークでフローログが有効になっているかどうかを確認します。 |
対策テンプレートを表示する
VPC ネットワーキングの対策テンプレート、基本事項を表示するには、次の操作を行います。
gcloud
後述のコマンドデータを使用する前に、次のように置き換えます。
-
ORGANIZATION_ID: 組織の数値 ID
gcloud scc posture-templates
describe コマンドを実行します。
Linux、macOS、Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Windows(PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Windows(cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
レスポンスには、対策テンプレートが含まれます。
REST
リクエストのデータを使用する前に、次のように置き換えます。
-
ORGANIZATION_ID: 組織の数値 ID
HTTP メソッドと URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
リクエストを送信するには、次のいずれかのオプションを展開します。
レスポンスには、対策テンプレートが含まれます。