Postura predefinita per i Controlli di servizio VPC, elementi essenziali

Questa pagina descrive i criteri preventivi e di rilevamento inclusi nella versione v1.0 della postura predefinita per i Controlli di servizio VPC, elementi essenziali. Questa postura include due insiemi di criteri:

Un set di criteri che include i criteri dell'organizzazione che si applicano ai Controlli di servizio VPC.
Un set di criteri che include rilevatori di Security Health Analytics personalizzati che si applicano ai Controlli di servizio VPC.

Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che aiuti a proteggere i Controlli di servizio VPC. Puoi eseguire il deployment di questa postura predefinita senza apportare modifiche.

Vincoli dei criteri dell'organizzazione

La tabella seguente descrive i criteri dell'organizzazione inclusi in questa postura.

Norme Descrizione Standard di conformità

Norme	Descrizione	Standard di conformità
`compute.skipDefaultNetworkCreation`	Questo criterio disattiva la creazione automatica di una rete VPC predefinita e di regole firewall predefinite in ogni nuovo progetto, garantendo che le regole di rete e firewall vengano create intenzionalmente. Il valore è `true` per evitare di creare la rete VPC predefinita.	Controllo NIST SP 800-53: SC-7 e SC-8
`ainotebooks.restrictPublicIp`	Questo vincolo limita l'accesso con IP pubblico ai blocchi note e alle istanze di Vertex AI Workbench appena creati. Per impostazione predefinita, gli indirizzi IP pubblici possono accedere ai blocchi note e alle istanze di Vertex AI Workbench. Il valore è `true` per limitare l'accesso con IP pubblico sui nuovi blocchi note e istanze di Vertex AI Workbench.	Controllo NIST SP 800-53: SC-7 e SC-8
`compute.disableNestedVirtualization`	Questo criterio disabilita la virtualizzazione nidificata per tutte le VM di Compute Engine per ridurre il rischio per la sicurezza correlato alle istanze nidificate non monitorate. Il valore è `true` per disattivare la virtualizzazione nidificata della VM.	Controllo NIST SP 800-53: SC-7 e SC-8

compute.skipDefaultNetworkCreation

Questo criterio disattiva la creazione automatica di una rete VPC predefinita e di regole firewall predefinite in ogni nuovo progetto, garantendo che le regole di rete e firewall vengano create intenzionalmente.

Il valore è true per evitare di creare la rete VPC predefinita.

Controllo NIST SP 800-53: SC-7 e SC-8

ainotebooks.restrictPublicIp

Questo vincolo limita l'accesso con IP pubblico ai blocchi note e alle istanze di Vertex AI Workbench appena creati. Per impostazione predefinita, gli indirizzi IP pubblici possono accedere ai blocchi note e alle istanze di Vertex AI Workbench.

Il valore è true per limitare l'accesso con IP pubblico sui nuovi blocchi note e istanze di Vertex AI Workbench.

Controllo NIST SP 800-53: SC-7 e SC-8

compute.disableNestedVirtualization

Questo criterio disabilita la virtualizzazione nidificata per tutte le VM di Compute Engine per ridurre il rischio per la sicurezza correlato alle istanze nidificate non monitorate.

Il valore è true per disattivare la virtualizzazione nidificata della VM.

Controllo NIST SP 800-53: SC-7 e SC-8

Rilevatori di Security Health Analytics

La seguente tabella descrive i rilevatori di Security Health Analytics inclusi nella postura predefinita. Per ulteriori informazioni su questi rilevatori, consulta Rilevamenti di vulnerabilità.

Nome rilevatore	Descrizione
`FIREWALL_NOT_MONITORED`	Questo rilevatore verifica se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole del firewall VPC.
`NETWORK_NOT_MONITORED`	Questo rilevatore verifica se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC.
`ROUTE_NOT_MONITORED`	Questo rilevatore verifica se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC.
`DNS_LOGGING_DISABLED`	Questo rilevatore verifica se il logging DNS è abilitato sulla rete VPC.
`FLOW_LOGS_DISABLED`	Questo rilevatore verifica se i log di flusso sono abilitati nella subnet VPC.

Definizione YAML

Di seguito è riportata la definizione YAML per la postura predefinita per i Controlli di servizio VPC.

name: organizations/123/locations/global/postureTemplates/vpcsc_essential
description: VPCSC Posture Template
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: VPCSC preventative policy set
  description: 3 org policies that new customers can automatically enable.
  policies:
  - policy_id: Skip default network creation
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.skipDefaultNetworkCreation
        policy_rules:
        - enforce: true
    description: This boolean constraint skips the creation of the default network and related resources during Google Cloud Platform Project resource creation where this constraint is set to True. By default, a default network and supporting resources are automatically created when creating a Project resource.
  - policy_id: Restrict public IP access on new Vertex AI Workbench notebooks and instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: ainotebooks.restrictPublicIp
        policy_rules:
        - enforce: true
    description: This boolean constraint, when enforced, restricts public IP access to newly created Vertex AI Workbench notebooks and instances. By default, public IPs can access Vertex AI Workbench notebooks and instances.
  - policy_id: Disable VM nested virtualization
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableNestedVirtualization
        policy_rules:
        - enforce: true
    description: This boolean constraint disables hardware-accelerated nested virtualization for all Compute Engine VMs belonging to the organization, project, or folder where this constraint is set to True. By default, hardware-accelerated nested virtualization is allowed for all Compute Engine VMs running on Intel Haswell or newer CPU platforms.
- policy_set_id: VPCSC detective policy set
  description: 5 SHA modules that new customers can automatically enable.
  policies:
  - policy_id: Firewall not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: FIREWALL_NOT_MONITORED
  - policy_id: Network not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: NETWORK_NOT_MONITORED
  - policy_id: Route not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ROUTE_NOT_MONITORED
  - policy_id: DNS logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DNS_LOGGING_DISABLED
  - policy_id: Flow logs disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: FLOW_LOGS_DISABLED

Passaggi successivi

Crea una postura di sicurezza utilizzando questa postura predefinita.