このページでは、VPC Service Controls の事前定義された対策の v1.0 バージョンに含まれる予防的ポリシーと検出ポリシーの基本事項について説明します。この対策には、次の 2 つのポリシーセットが含まれています。
VPC Service Controls に適用される組織のポリシーを含むポリシーセット。
VPC Service Controls に適用されるカスタム Security Health Analytics 検出機能を含むポリシーセット。
この事前定義された対策を使用して、VPC Service Controls の保護に役立つセキュリティ対策を構成できます。この事前定義済みの対策は、変更を加えることなくデプロイできます。
組織ポリシーの制約
次の表は、この対策に含まれる組織のポリシーを示しています。
ポリシー | 説明 | コンプライアンスの標準 |
---|---|---|
compute.skipDefaultNetworkCreation |
このポリシーにより、新しい各プロジェクトでのデフォルトの VPC ネットワークとデフォルトのファイアウォール ルールの自動作成が無効になり、ネットワークとファイアウォールのルールが意図したとおりに作成されます。 値は、デフォルトの VPC ネットワークが作成されないように |
NIST SP 800-53 コントロール: SC-7 および SC-8 |
ainotebooks.restrictPublicIp |
この制約では、新しく作成された Vertex AI Workbench のノートブックとインスタンスへのパブリック IP アクセスが制限されます。デフォルトでは、パブリック IP アドレスから Vertex AI Workbench のノートブックとインスタンスにアクセスできます。 値は |
NIST SP 800-53 コントロール: SC-7 および SC-8 |
compute.disableNestedVirtualization |
このポリシーは、すべての Compute Engine VM でネストされた仮想化を無効にして、モニタリングされていないネストされたインスタンスに関連するセキュリティ リスクを軽減します。 VM のネストされた仮想化をオフにする場合、値は |
NIST SP 800-53 コントロール: SC-7 および SC-8 |
Security Health Analytics の検出機能
次の表に、事前定義された対策に含まれる Security Health Analytics 検出機能を示します。これらの検出機能の詳細については、脆弱性の検出結果をご覧ください。
検出項目の名前 | 説明 |
---|---|
FIREWALL_NOT_MONITORED |
この検出機能は、ログ指標とアラートが VPC ファイアウォール ルールの変更をモニタリングするように構成されていないかどうかを確認します。 |
NETWORK_NOT_MONITORED |
この検出機能は、ログ指標とアラートが VPC ネットワークの変更をモニタリングするように構成されていないかどうかを確認します。 |
ROUTE_NOT_MONITORED |
この検出機能は、ログ指標とアラートが VPC ネットワーク ルートの変更をモニタリングするように構成されていないかどうかを確認します。 |
DNS_LOGGING_DISABLED |
この検出機能は、VPC ネットワークで DNS ロギングが有効になっているかどうかを確認します。 |
FLOW_LOGS_DISABLED |
この検出機能は、VPC サブネットワークでフローログが有効になっているかどうかを確認します。 |
YAML の定義
VPC Service Controls の事前定義された対策の YAML 定義は次のとおりです。
name: organizations/123/locations/global/postureTemplates/vpcsc_essential
description: VPCSC Posture Template
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: VPCSC preventative policy set
description: 3 org policies that new customers can automatically enable.
policies:
- policy_id: Skip default network creation
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.skipDefaultNetworkCreation
policy_rules:
- enforce: true
description: This boolean constraint skips the creation of the default network and related resources during Google Cloud Platform Project resource creation where this constraint is set to True. By default, a default network and supporting resources are automatically created when creating a Project resource.
- policy_id: Restrict public IP access on new Vertex AI Workbench notebooks and instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: ainotebooks.restrictPublicIp
policy_rules:
- enforce: true
description: This boolean constraint, when enforced, restricts public IP access to newly created Vertex AI Workbench notebooks and instances. By default, public IPs can access Vertex AI Workbench notebooks and instances.
- policy_id: Disable VM nested virtualization
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableNestedVirtualization
policy_rules:
- enforce: true
description: This boolean constraint disables hardware-accelerated nested virtualization for all Compute Engine VMs belonging to the organization, project, or folder where this constraint is set to True. By default, hardware-accelerated nested virtualization is allowed for all Compute Engine VMs running on Intel Haswell or newer CPU platforms.
- policy_set_id: VPCSC detective policy set
description: 5 SHA modules that new customers can automatically enable.
policies:
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED