VPC Service Controls の事前定義されたポスチャー、基本事項

このページでは、VPC Service Controls の事前定義された対策の v1.0 バージョンに含まれる予防的ポリシーと検出ポリシーの基本事項について説明します。この対策には、次の 2 つのポリシーセットが含まれています。

VPC Service Controls に適用される組織のポリシーを含むポリシーセット。
VPC Service Controls に適用されるカスタム Security Health Analytics 検出機能を含むポリシーセット。

この事前定義された対策を使用して、VPC Service Controls の保護に役立つセキュリティ対策を構成できます。この事前定義済みの対策は、変更を加えることなくデプロイできます。

組織ポリシーの制約

次の表は、この対策に含まれる組織のポリシーを示しています。

ポリシー説明コンプライアンスの標準

ポリシー	説明	コンプライアンスの標準
`compute.skipDefaultNetworkCreation`	このポリシーにより、新しい各プロジェクトでのデフォルトの VPC ネットワークとデフォルトのファイアウォールルールの自動作成が無効になり、ネットワークとファイアウォールのルールが意図したとおりに作成されます。値は、デフォルトの VPC ネットワークが作成されないように `true` にします。	NIST SP 800-53 コントロール: SC-7 および SC-8
`ainotebooks.restrictPublicIp`	この制約では、新しく作成された Vertex AI Workbench のノートブックとインスタンスへのパブリック IP アクセスが制限されます。デフォルトでは、パブリック IP アドレスから Vertex AI Workbench のノートブックとインスタンスにアクセスできます。値は `true` で、新しい Vertex AI Workbench のノートブックとインスタンスに対するパブリック IP アクセスを制限します。	NIST SP 800-53 コントロール: SC-7 および SC-8
`compute.disableNestedVirtualization`	このポリシーは、すべての Compute Engine VM でネストされた仮想化を無効にして、モニタリングされていないネストされたインスタンスに関連するセキュリティリスクを軽減します。 VM のネストされた仮想化をオフにする場合、値は `true` です。	NIST SP 800-53 コントロール: SC-7 および SC-8

compute.skipDefaultNetworkCreation

このポリシーにより、新しい各プロジェクトでのデフォルトの VPC ネットワークとデフォルトのファイアウォールルールの自動作成が無効になり、ネットワークとファイアウォールのルールが意図したとおりに作成されます。

値は、デフォルトの VPC ネットワークが作成されないように true にします。

NIST SP 800-53 コントロール: SC-7 および SC-8

ainotebooks.restrictPublicIp

この制約では、新しく作成された Vertex AI Workbench のノートブックとインスタンスへのパブリック IP アクセスが制限されます。デフォルトでは、パブリック IP アドレスから Vertex AI Workbench のノートブックとインスタンスにアクセスできます。

値は true で、新しい Vertex AI Workbench のノートブックとインスタンスに対するパブリック IP アクセスを制限します。

NIST SP 800-53 コントロール: SC-7 および SC-8

compute.disableNestedVirtualization

このポリシーは、すべての Compute Engine VM でネストされた仮想化を無効にして、モニタリングされていないネストされたインスタンスに関連するセキュリティリスクを軽減します。

VM のネストされた仮想化をオフにする場合、値は true です。

NIST SP 800-53 コントロール: SC-7 および SC-8

Security Health Analytics の検出機能

次の表に、事前定義された対策に含まれる Security Health Analytics 検出機能を示します。これらの検出機能の詳細については、脆弱性の検出結果をご覧ください。

検出項目の名前	説明
`FIREWALL_NOT_MONITORED`	この検出機能は、ログ指標とアラートが VPC ファイアウォールルールの変更をモニタリングするように構成されていないかどうかを確認します。
`NETWORK_NOT_MONITORED`	この検出機能は、ログ指標とアラートが VPC ネットワークの変更をモニタリングするように構成されていないかどうかを確認します。
`ROUTE_NOT_MONITORED`	この検出機能は、ログ指標とアラートが VPC ネットワークルートの変更をモニタリングするように構成されていないかどうかを確認します。
`DNS_LOGGING_DISABLED`	この検出機能は、VPC ネットワークで DNS ロギングが有効になっているかどうかを確認します。
`FLOW_LOGS_DISABLED`	この検出機能は、VPC サブネットワークでフローログが有効になっているかどうかを確認します。

YAML の定義

VPC Service Controls の事前定義された対策の YAML 定義は次のとおりです。

name: organizations/123/locations/global/postureTemplates/vpcsc_essential
description: VPCSC Posture Template
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: VPCSC preventative policy set
  description: 3 org policies that new customers can automatically enable.
  policies:
  - policy_id: Skip default network creation
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.skipDefaultNetworkCreation
        policy_rules:
        - enforce: true
    description: This boolean constraint skips the creation of the default network and related resources during Google Cloud Platform Project resource creation where this constraint is set to True. By default, a default network and supporting resources are automatically created when creating a Project resource.
  - policy_id: Restrict public IP access on new Vertex AI Workbench notebooks and instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: ainotebooks.restrictPublicIp
        policy_rules:
        - enforce: true
    description: This boolean constraint, when enforced, restricts public IP access to newly created Vertex AI Workbench notebooks and instances. By default, public IPs can access Vertex AI Workbench notebooks and instances.
  - policy_id: Disable VM nested virtualization
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableNestedVirtualization
        policy_rules:
        - enforce: true
    description: This boolean constraint disables hardware-accelerated nested virtualization for all Compute Engine VMs belonging to the organization, project, or folder where this constraint is set to True. By default, hardware-accelerated nested virtualization is allowed for all Compute Engine VMs running on Intel Haswell or newer CPU platforms.
- policy_set_id: VPCSC detective policy set
  description: 5 SHA modules that new customers can automatically enable.
  policies:
  - policy_id: Firewall not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: FIREWALL_NOT_MONITORED
  - policy_id: Network not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: NETWORK_NOT_MONITORED
  - policy_id: Route not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ROUTE_NOT_MONITORED
  - policy_id: DNS logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DNS_LOGGING_DISABLED
  - policy_id: Flow logs disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: FLOW_LOGS_DISABLED

次のステップ

この事前定義されたポスチャーを使用してセキュリティポスチャーを作成する。