Nesta página, descrevemos as políticas preventivas e de detecção incluídas na versão v1.0 da postura predefinida do VPC Service Controls. Essa postura inclui dois conjuntos de políticas:
Um conjunto de políticas que inclui as políticas da organização que se aplicam ao VPC Service Controls.
Um conjunto de políticas que inclui detectores personalizados da Análise de integridade da segurança aplicáveis ao VPC Service Controls.
É possível usar essa postura predefinida para configurar uma postura de segurança que ajude a proteger o VPC Service Controls. É possível implantar essa postura predefinida sem fazer nenhuma mudança.
Restrições das políticas da organização
A tabela a seguir descreve as políticas da organização incluídas nessa postura.
| Política | Descrição | Padrão de conformidade |
|---|---|---|
compute.skipDefaultNetworkCreation |
Essa política desativa a criação automática de uma rede VPC padrão e de regras de firewall padrão em cada novo projeto, garantindo que a rede e as regras de firewall sejam criadas intencionalmente. O valor é |
Controle do NIST SP 800-53: SC-7 e SC-8 |
ainotebooks.restrictPublicIp |
Essa restrição restringe o acesso de IP público a notebooks e instâncias recém-criados do Vertex AI Workbench. Por padrão, os endereços IP públicos podem acessar os notebooks e as instâncias do Vertex AI Workbench. O valor é |
Controle do NIST SP 800-53: SC-7 e SC-8 |
compute.disableNestedVirtualization |
Ela desativa a virtualização aninhada em todas as VMs do Compute Engine para diminuir o risco de segurança relacionado a instâncias aninhadas não monitoradas. O valor é |
Controle do NIST SP 800-53: SC-7 e SC-8 |
Detectores do Security Health Analytics
A tabela a seguir descreve os detectores da Análise de integridade da segurança incluídos na postura predefinida. Para mais informações sobre esses detectores, consulte Descobertas de vulnerabilidades.
| Nome do detector | Descrição |
|---|---|
FIREWALL_NOT_MONITORED |
Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as alterações nas regras de firewall da VPC. |
NETWORK_NOT_MONITORED |
Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar alterações de rede VPC. |
ROUTE_NOT_MONITORED |
Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as alterações na rota da rede VPC. |
DNS_LOGGING_DISABLED |
Este detector verifica se a geração de registros de DNS está ativada na rede VPC. |
FLOW_LOGS_DISABLED |
Este detector verifica se os registros de fluxo estão ativados na sub-rede VPC. |
Definição de YAML
Confira a seguir a definição YAML para a postura predefinida do VPC Service Controls.
name: organizations/123/locations/global/postureTemplates/vpcsc_essential
description: VPCSC Posture Template
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: VPCSC preventative policy set
description: 3 org policies that new customers can automatically enable.
policies:
- policy_id: Skip default network creation
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.skipDefaultNetworkCreation
policy_rules:
- enforce: true
description: This boolean constraint skips the creation of the default network and related resources during Google Cloud Platform Project resource creation where this constraint is set to True. By default, a default network and supporting resources are automatically created when creating a Project resource.
- policy_id: Restrict public IP access on new Vertex AI Workbench notebooks and instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: ainotebooks.restrictPublicIp
policy_rules:
- enforce: true
description: This boolean constraint, when enforced, restricts public IP access to newly created Vertex AI Workbench notebooks and instances. By default, public IPs can access Vertex AI Workbench notebooks and instances.
- policy_id: Disable VM nested virtualization
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableNestedVirtualization
policy_rules:
- enforce: true
description: This boolean constraint disables hardware-accelerated nested virtualization for all Compute Engine VMs belonging to the organization, project, or folder where this constraint is set to True. By default, hardware-accelerated nested virtualization is allowed for all Compute Engine VMs running on Intel Haswell or newer CPU platforms.
- policy_set_id: VPCSC detective policy set
description: 5 SHA modules that new customers can automatically enable.
policies:
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED