Postur yang telah ditentukan sebelumnya untuk Kontrol Layanan VPC, esensial

Halaman ini menjelaskan kebijakan preventif dan detektif yang disertakan dalam versi v1.0 postur yang telah ditentukan sebelumnya untuk Kontrol Layanan VPC. Postur ini mencakup dua set kebijakan:

  • Serangkaian kebijakan yang mencakup kebijakan organisasi yang berlaku untuk Kontrol Layanan VPC.

  • Rangkaian kebijakan yang mencakup detektor Security Health Analytics kustom yang berlaku untuk Kontrol Layanan VPC.

Anda dapat menggunakan postur yang telah ditentukan ini untuk mengonfigurasi postur keamanan yang membantu melindungi Kontrol Layanan VPC. Anda dapat men-deploy postur yang telah ditentukan ini tanpa membuat perubahan apa pun.

Batasan kebijakan organisasi

Tabel berikut menjelaskan kebijakan organisasi yang disertakan dalam postur ini.

Kebijakan Deskripsi Standar kepatuhan
compute.skipDefaultNetworkCreation

Kebijakan ini menonaktifkan pembuatan otomatis jaringan VPC default dan aturan firewall default di setiap project baru, yang memastikan bahwa aturan jaringan dan firewall sengaja dibuat.

Nilainya adalah true untuk menghindari pembuatan jaringan VPC default.

 Kontrol NIST SP 800-53: SC-7 dan SC-8
ainotebooks.restrictPublicIp

Batasan ini membatasi akses IP publik ke instance dan notebook Vertex AI Workbench yang baru dibuat. Secara default, alamat IP publik dapat mengakses notebook dan instance Vertex AI Workbench.

Nilainya adalah true untuk membatasi akses IP publik pada instance dan notebook Vertex AI Workbench yang baru.

 Kontrol NIST SP 800-53: SC-7 dan SC-8
compute.disableNestedVirtualization

Kebijakan ini menonaktifkan virtualisasi bertingkat untuk semua VM Compute Engine guna mengurangi risiko keamanan terkait instance bertingkat yang tidak terpantau.

Nilainya adalah true untuk menonaktifkan virtualisasi bertingkat VM.

 Kontrol NIST SP 800-53: SC-7 dan SC-8

Pendeteksi Security Health Analytics

Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam postur yang telah ditentukan. Untuk mengetahui informasi lebih lanjut tentang detektor ini, lihat Temuan kerentanan.

Nama pendeteksi Deskripsi
FIREWALL_NOT_MONITORED

Pendeteksi ini memeriksa apakah notifikasi dan metrik log tidak dikonfigurasi untuk memantau perubahan aturan firewall VPC.
NETWORK_NOT_MONITORED

Pendeteksi ini memeriksa apakah pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan jaringan VPC.
ROUTE_NOT_MONITORED

Pendeteksi ini memeriksa apakah pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC.
DNS_LOGGING_DISABLED

Detektor ini memeriksa apakah logging DNS diaktifkan di jaringan VPC.
FLOW_LOGS_DISABLED

Detektor ini memeriksa apakah log aliran diaktifkan di subnetwork VPC.

Definisi YAML

Berikut adalah definisi YAML untuk postur yang telah ditentukan untuk Kontrol Layanan VPC.

name: organizations/123/locations/global/postureTemplates/vpcsc_essential
description: VPCSC Posture Template
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: VPCSC preventative policy set
  description: 3 org policies that new customers can automatically enable.
  policies:
  - policy_id: Skip default network creation
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.skipDefaultNetworkCreation
        policy_rules:
        - enforce: true
    description: This boolean constraint skips the creation of the default network and related resources during Google Cloud Platform Project resource creation where this constraint is set to True. By default, a default network and supporting resources are automatically created when creating a Project resource.
  - policy_id: Restrict public IP access on new Vertex AI Workbench notebooks and instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: ainotebooks.restrictPublicIp
        policy_rules:
        - enforce: true
    description: This boolean constraint, when enforced, restricts public IP access to newly created Vertex AI Workbench notebooks and instances. By default, public IPs can access Vertex AI Workbench notebooks and instances.
  - policy_id: Disable VM nested virtualization
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableNestedVirtualization
        policy_rules:
        - enforce: true
    description: This boolean constraint disables hardware-accelerated nested virtualization for all Compute Engine VMs belonging to the organization, project, or folder where this constraint is set to True. By default, hardware-accelerated nested virtualization is allowed for all Compute Engine VMs running on Intel Haswell or newer CPU platforms.
- policy_set_id: VPCSC detective policy set
  description: 5 SHA modules that new customers can automatically enable.
  policies:
  - policy_id: Firewall not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: FIREWALL_NOT_MONITORED
  - policy_id: Network not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: NETWORK_NOT_MONITORED
  - policy_id: Route not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ROUTE_NOT_MONITORED
  - policy_id: DNS logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DNS_LOGGING_DISABLED
  - policy_id: Flow logs disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: FLOW_LOGS_DISABLED

Langkah selanjutnya