En esta página, se describen las políticas preventivas y de detective que se incluyen en la versión v1.0 de la posición predefinida para los Controles del servicio de VPC, aspectos esenciales. Esta postura incluye dos conjuntos de políticas:
Un conjunto de políticas que incluye políticas de la organización que se aplican a los Controles del servicio de VPC.
Un conjunto de políticas que incluye detectores personalizados de Security Health Analytics que se aplican a los Controles del servicio de VPC.
Puedes usar esta posición predefinida para configurar una posición de seguridad que ayude a proteger los Controles del servicio de VPC. Puedes implementar esta posición predefinida sin hacer ningún cambio.
Restricciones de las políticas de la organización
En la siguiente tabla, se describen las políticas de la organización que se incluyen en esta postura.
| Política | Descripción | Estándar de cumplimiento |
|---|---|---|
compute.skipDefaultNetworkCreation |
Esta política inhabilita la creación automática de una red de VPC predeterminada y las reglas de firewall predeterminadas en cada proyecto nuevo, lo que garantiza que las reglas de red y firewall se creen de manera intencional. El valor es |
Control de NIST SP 800-53: SC-7 y SC-8 |
ainotebooks.restrictPublicIp |
Esta restricción restringe el acceso de IP pública a instancias y notebooks de Vertex AI Workbench recién creados. De forma predeterminada, las direcciones IP públicas pueden acceder a instancias y notebooks de Vertex AI Workbench. El valor es |
Control de NIST SP 800-53: SC-7 y SC-8 |
compute.disableNestedVirtualization |
Esta política inhabilita la virtualización anidada para todas las VM de Compute Engine a fin de disminuir el riesgo de seguridad relacionado con las instancias anidadas no supervisadas. El valor es |
Control de NIST SP 800-53: SC-7 y SC-8 |
Detectores de estadísticas de estado de seguridad
En la siguiente tabla, se describen los detectores de Security Health Analytics que se incluyen en la posición predefinida. Para obtener más información sobre estos detectores, consulta Búsquedas de vulnerabilidades.
| Nombre del detector | Descripción |
|---|---|
FIREWALL_NOT_MONITORED |
Este detector verifica si las métricas de registro y las alertas no están configuradas para supervisar los cambios en las reglas de firewall de VPC. |
NETWORK_NOT_MONITORED |
Este detector verifica si las métricas de registro y las alertas no están configuradas para supervisar los cambios en la red de VPC. |
ROUTE_NOT_MONITORED |
Este detector verifica si las métricas de registro y las alertas no están configuradas para supervisar los cambios en la ruta de la red de VPC. |
DNS_LOGGING_DISABLED |
Este detector verifica si el registro de DNS está habilitado en la red de VPC. |
FLOW_LOGS_DISABLED |
Este detector verifica si los registros de flujo están habilitados en la subred de VPC. |
Definición de YAML
A continuación, se muestra la definición de YAML para la posición predefinida de los Controles del servicio de VPC.
name: organizations/123/locations/global/postureTemplates/vpcsc_essential
description: VPCSC Posture Template
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: VPCSC preventative policy set
description: 3 org policies that new customers can automatically enable.
policies:
- policy_id: Skip default network creation
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.skipDefaultNetworkCreation
policy_rules:
- enforce: true
description: This boolean constraint skips the creation of the default network and related resources during Google Cloud Platform Project resource creation where this constraint is set to True. By default, a default network and supporting resources are automatically created when creating a Project resource.
- policy_id: Restrict public IP access on new Vertex AI Workbench notebooks and instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: ainotebooks.restrictPublicIp
policy_rules:
- enforce: true
description: This boolean constraint, when enforced, restricts public IP access to newly created Vertex AI Workbench notebooks and instances. By default, public IPs can access Vertex AI Workbench notebooks and instances.
- policy_id: Disable VM nested virtualization
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableNestedVirtualization
policy_rules:
- enforce: true
description: This boolean constraint disables hardware-accelerated nested virtualization for all Compute Engine VMs belonging to the organization, project, or folder where this constraint is set to True. By default, hardware-accelerated nested virtualization is allowed for all Compute Engine VMs running on Intel Haswell or newer CPU platforms.
- policy_set_id: VPCSC detective policy set
description: 5 SHA modules that new customers can automatically enable.
policies:
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED