In questa pagina vengono descritte le norme di prevenzione e indagine incluse in la versione v.1.0 della postura predefinita per Virtual Private Cloud (VPC) il networking, gli elementi essenziali. Questa postura include due set di criteri:
Un set di criteri che include vincoli dei criteri dell'organizzazione che si applicano a networking VPC.
Un set di criteri che include i rilevatori di Security Health Analytics applicabili a networking VPC.
Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che aiuti per proteggere il networking VPC. Puoi eseguire il deployment di questa postura predefinita senza apportare modifiche.
Vincoli dei criteri dell'organizzazione
La tabella seguente descrive i vincoli dei criteri dell'organizzazione incluse in questa postura.
Norme | Descrizione | Standard di conformità |
---|---|---|
compute.skipDefaultNetworkCreation |
Questo vincolo booleano disabilita la creazione automatica di un la rete VPC e le regole firewall predefinite in ogni nuovo progetto, per garantire che le regole firewall e di rete vengono create intenzionalmente. Il valore è
|
Controllo NIST SP 800-53: SC-7 e SC-8 |
ainotebooks.restrictPublicIp |
Questo vincolo booleano limita l'accesso degli IP pubblici alle istanze blocchi note e istanze di Vertex AI Workbench. Per impostazione predefinita, l'IP pubblico possono accedere a istanze e blocchi note di Vertex AI Workbench. Il valore è |
Controllo NIST SP 800-53: SC-7 e SC-8 |
compute.disableNestedVirtualization |
Questo vincolo booleano disabilita la virtualizzazione nidificata per tutti VM di Compute Engine per ridurre i rischi per la sicurezza legati alle VM nidificate. Il valore è |
Controllo NIST SP 800-53: SC-7 e SC-8 |
Rilevatori Security Health Analytics
La tabella seguente descrive i rilevatori di Security Health Analytics inclusi in la postura predefinita. Per ulteriori informazioni su questi rilevatori, vedi Vulnerabilità rilevate.
Nome rilevatore | Descrizione |
---|---|
FIREWALL_NOT_MONITORED |
Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole del firewall VPC. |
NETWORK_NOT_MONITORED |
Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC. |
ROUTE_NOT_MONITORED |
Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC. |
DNS_LOGGING_DISABLED |
Questo rilevatore verifica se il logging DNS è abilitato sulla rete VPC. |
FLOW_LOGS_DISABLED |
Questo rilevatore verifica se i log di flusso sono abilitati nella subnet VPC. |
Visualizza il modello di postura
Per visualizzare il modello di postura per il networking VPC (elementi essenziali), segui questi passaggi:
gcloud
Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
-
ORGANIZATION_ID
: l'ID numerico dell'organizzazione
Esegui la
gcloud scc posture-templates
describe
:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
La risposta contiene il modello di postura.
REST
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
-
ORGANIZATION_ID
: l'ID numerico dell'organizzazione
Metodo HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta contiene il modello di postura.