Postur standar untuk jaringan VPC, penting

Halaman ini menjelaskan kebijakan preventif dan detektif yang disertakan dalam versi v.1.0 dari postur bawaan untuk Virtual Private Cloud (VPC) jaringan, penting. Postur ini mencakup dua set kebijakan:

  • Kumpulan kebijakan yang mencakup batasan kebijakan organisasi yang berlaku untuk jaringan VPC.

  • Kumpulan kebijakan yang menyertakan pendeteksi Security Health Analytics yang berlaku untuk jaringan VPC.

Anda dapat menggunakan postur yang telah ditentukan ini untuk mengonfigurasi postur keamanan yang membantu melindungi jaringan VPC. Anda dapat menerapkan postur yang telah ditentukan ini tanpa membuat perubahan apa pun.

Batasan kebijakan organisasi

Tabel berikut menjelaskan batasan kebijakan organisasi yang termasuk dalam postur ini.

Kebijakan Deskripsi Standar kepatuhan
compute.skipDefaultNetworkCreation

Batasan boolean ini menonaktifkan pembuatan otomatis default Jaringan VPC dan aturan firewall default dalam setiap project baru, aturan jaringan dan firewall secara sengaja dibuat.

Nilainya adalah true untuk menghindari pembuatan jaringan VPC default.

Kontrol NIST SP 800-53: SC-7 dan SC-8
ainotebooks.restrictPublicIp

Batasan boolean ini membatasi akses IP publik ke file yang baru dibuat Notebook dan instance Vertex AI Workbench. Secara default, IP publik dapat mengakses notebook dan instance Vertex AI Workbench.

Nilainya adalah true untuk membatasi akses IP publik pada Notebook dan instance Vertex AI Workbench.

Kontrol NIST SP 800-53: SC-7 dan SC-8
compute.disableNestedVirtualization

Batasan boolean ini menonaktifkan virtualisasi bertingkat untuk semua VM Compute Engine untuk mengurangi risiko keamanan terkait aplikasi yang tidak dipantau instance bertingkat.

Nilainya adalah true untuk menonaktifkan VM bertingkat virtualisasi.

Kontrol NIST SP 800-53: SC-7 dan SC-8

Pendeteksi Security Health Analytics

Tabel berikut menjelaskan pendeteksi Security Health Analytics yang disertakan dalam postur yang telah ditentukan. Untuk informasi selengkapnya tentang pendeteksi ini, lihat Temuan kerentanan.

Nama pendeteksi Deskripsi
FIREWALL_NOT_MONITORED

Pendeteksi ini memeriksa apakah pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan aturan firewall VPC.

NETWORK_NOT_MONITORED

Pendeteksi ini memeriksa apakah pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan jaringan VPC.

ROUTE_NOT_MONITORED

Pendeteksi ini memeriksa apakah pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC.

DNS_LOGGING_DISABLED

Pendeteksi ini memeriksa apakah logging DNS diaktifkan pada jaringan VPC atau tidak.

FLOW_LOGS_DISABLED

Pendeteksi ini memeriksa apakah log aliran diaktifkan di subnetwork VPC.

Melihat template postur

Guna melihat template postur untuk jaringan VPC, penting untuk melakukan langkah berikut:

gcloud

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi

Jalankan gcloud scc posture-templates describe berikut:

Linux, macOS, atau Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Respons akan berisi template postur.

REST

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi

Metode HTTP dan URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons akan berisi template postur.

Langkah selanjutnya