Halaman ini menjelaskan kebijakan preventif dan detektif yang disertakan dalam versi v.1.0 dari postur bawaan untuk Virtual Private Cloud (VPC) jaringan, penting. Postur ini mencakup dua set kebijakan:
Kumpulan kebijakan yang mencakup batasan kebijakan organisasi yang berlaku untuk jaringan VPC.
Kumpulan kebijakan yang menyertakan pendeteksi Security Health Analytics yang berlaku untuk jaringan VPC.
Anda dapat menggunakan postur yang telah ditentukan ini untuk mengonfigurasi postur keamanan yang membantu melindungi jaringan VPC. Anda dapat menerapkan postur yang telah ditentukan ini tanpa membuat perubahan apa pun.
Batasan kebijakan organisasi
Tabel berikut menjelaskan batasan kebijakan organisasi yang termasuk dalam postur ini.
Kebijakan | Deskripsi | Standar kepatuhan |
---|---|---|
compute.skipDefaultNetworkCreation |
Batasan boolean ini menonaktifkan pembuatan otomatis default Jaringan VPC dan aturan firewall default dalam setiap project baru, aturan jaringan dan firewall secara sengaja dibuat. Nilainya adalah
|
Kontrol NIST SP 800-53: SC-7 dan SC-8 |
ainotebooks.restrictPublicIp |
Batasan boolean ini membatasi akses IP publik ke file yang baru dibuat Notebook dan instance Vertex AI Workbench. Secara default, IP publik dapat mengakses notebook dan instance Vertex AI Workbench. Nilainya adalah |
Kontrol NIST SP 800-53: SC-7 dan SC-8 |
compute.disableNestedVirtualization |
Batasan boolean ini menonaktifkan virtualisasi bertingkat untuk semua VM Compute Engine untuk mengurangi risiko keamanan terkait aplikasi yang tidak dipantau instance bertingkat. Nilainya adalah |
Kontrol NIST SP 800-53: SC-7 dan SC-8 |
Pendeteksi Security Health Analytics
Tabel berikut menjelaskan pendeteksi Security Health Analytics yang disertakan dalam postur yang telah ditentukan. Untuk informasi selengkapnya tentang pendeteksi ini, lihat Temuan kerentanan.
Nama pendeteksi | Deskripsi |
---|---|
FIREWALL_NOT_MONITORED |
Pendeteksi ini memeriksa apakah pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan aturan firewall VPC. |
NETWORK_NOT_MONITORED |
Pendeteksi ini memeriksa apakah pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan jaringan VPC. |
ROUTE_NOT_MONITORED |
Pendeteksi ini memeriksa apakah pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC. |
DNS_LOGGING_DISABLED |
Pendeteksi ini memeriksa apakah logging DNS diaktifkan pada jaringan VPC atau tidak. |
FLOW_LOGS_DISABLED |
Pendeteksi ini memeriksa apakah log aliran diaktifkan di subnetwork VPC. |
Melihat template postur
Guna melihat template postur untuk jaringan VPC, penting untuk melakukan langkah berikut:
gcloud
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
-
ORGANIZATION_ID
: ID numerik organisasi
Jalankan
gcloud scc posture-templates
describe
berikut:
Linux, macOS, atau Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Respons akan berisi template postur.
REST
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
-
ORGANIZATION_ID
: ID numerik organisasi
Metode HTTP dan URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Respons akan berisi template postur.