Esta página descreve as políticas de prevenção e detetive incluídas no a versão v1.0 da postura predefinida para o VPC Service Controls, essencial. Esta postura inclui dois conjuntos de políticas:
Um conjunto de políticas que inclui as políticas da organização VPC Service Controls.
Um conjunto de políticas que inclui detectores personalizados da Análise de integridade da segurança aplicáveis a VPC Service Controls.
É possível usar essa postura predefinida para configurar uma postura de segurança que ajude proteger o VPC Service Controls. É possível implantar essa postura predefinida sem fazer alguma mudança.
Restrições da política da organização
A tabela a seguir descreve as políticas da organização incluídas em essa postura.
Política | Descrição | Padrão de conformidade |
---|---|---|
compute.skipDefaultNetworkCreation |
Isso desativa a criação automática de uma rede VPC padrão e o padrão regras de firewall em cada novo projeto, garantindo que as regras de rede e de firewall sejam criadas intencionalmente. O valor é |
Controle do NIST SP 800-53: SC-7 e SC-8 |
ainotebooks.restrictPublicIp |
Essa restrição restringe o acesso de IP público a notebooks e instâncias recém-criados do Vertex AI Workbench. Por padrão, os endereços IP públicos podem acessar os notebooks e as instâncias do Vertex AI Workbench. O valor é |
Controle do NIST SP 800-53: SC-7 e SC-8 |
compute.disableNestedVirtualization |
Esta política desativa a virtualização aninhada em todas as VMs do Compute Engine para diminuir o risco de segurança relacionado a recursos instâncias aninhadas. O valor é |
Controle do NIST SP 800-53: SC-7 e SC-8 |
Detectores do Security Health Analytics
A tabela a seguir descreve os detectores da Análise de integridade da segurança incluídos em a postura predefinida. Para mais informações sobre esses detectores, consulte Vulnerabilidade descobertas.
Nome do detector | Descrição |
---|---|
FIREWALL_NOT_MONITORED |
Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as alterações nas regras de firewall da VPC. |
NETWORK_NOT_MONITORED |
Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar alterações de rede VPC. |
ROUTE_NOT_MONITORED |
Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as alterações na rota da rede VPC. |
DNS_LOGGING_DISABLED |
Este detector verifica se a geração de registros de DNS está ativada na rede VPC. |
FLOW_LOGS_DISABLED |
Este detector verifica se os registros de fluxo estão ativados na sub-rede VPC. |
Definição de YAML
Confira a seguir a definição YAML para a postura predefinida do VPC Service Controls.
name: organizations/123/locations/global/postureTemplates/vpcsc_essential
description: VPCSC Posture Template
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: VPCSC preventative policy set
description: 3 org policies that new customers can automatically enable.
policies:
- policy_id: Skip default network creation
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.skipDefaultNetworkCreation
policy_rules:
- enforce: true
description: This boolean constraint skips the creation of the default network and related resources during Google Cloud Platform Project resource creation where this constraint is set to True. By default, a default network and supporting resources are automatically created when creating a Project resource.
- policy_id: Restrict public IP access on new Vertex AI Workbench notebooks and instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: ainotebooks.restrictPublicIp
policy_rules:
- enforce: true
description: This boolean constraint, when enforced, restricts public IP access to newly created Vertex AI Workbench notebooks and instances. By default, public IPs can access Vertex AI Workbench notebooks and instances.
- policy_id: Disable VM nested virtualization
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableNestedVirtualization
policy_rules:
- enforce: true
description: This boolean constraint disables hardware-accelerated nested virtualization for all Compute Engine VMs belonging to the organization, project, or folder where this constraint is set to True. By default, hardware-accelerated nested virtualization is allowed for all Compute Engine VMs running on Intel Haswell or newer CPU platforms.
- policy_set_id: VPCSC detective policy set
description: 5 SHA modules that new customers can automatically enable.
policies:
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED