Questa pagina descrive i criteri di prevenzione e rilevamento inclusi nella versione v1.0 della postura predefinita per i Controlli di servizio VPC (elementi essenziali). Questa postura include due set di criteri:
Un set di criteri che include i criteri dell'organizzazione che si applicano ai Controlli di servizio VPC.
Un set di criteri che include rilevatori di Security Health Analytics personalizzati applicabili ai Controlli di servizio VPC.
Puoi utilizzare questa postura predefinita per configurare una strategia di sicurezza che aiuti a proteggere i Controlli di servizio VPC. Puoi eseguire il deployment di questa postura predefinita senza apportare modifiche.
Vincoli dei criteri dell'organizzazione
La tabella seguente descrive i criteri dell'organizzazione inclusi in questa postura.
Criterio | Descrizione | Standard di conformità |
---|---|---|
compute.skipDefaultNetworkCreation |
Questo criterio disabilita la creazione automatica di una rete VPC predefinita e di regole firewall predefinite in ogni nuovo progetto, garantendo che le regole di rete e firewall vengano create intenzionalmente. Il valore è |
Controllo NIST SP 800-53: SC-7 e SC-8 |
ainotebooks.restrictPublicIp |
Questo vincolo limita l'accesso degli IP pubblici alle istanze e ai blocchi note di Vertex AI Workbench appena creati. Per impostazione predefinita, gli indirizzi IP pubblici possono accedere alle istanze e ai blocchi note di Vertex AI Workbench. Il valore è |
Controllo NIST SP 800-53: SC-7 e SC-8 |
compute.disableNestedVirtualization |
Questo criterio disattiva la virtualizzazione nidificata per tutte le VM di Compute Engine al fine di ridurre il rischio per la sicurezza relativo alle istanze nidificate non monitorate. Il valore |
Controllo NIST SP 800-53: SC-7 e SC-8 |
Rilevatori Security Health Analytics
La tabella seguente descrive i rilevatori di Security Health Analytics inclusi nella postura predefinita. Per ulteriori informazioni su questi rilevatori, consulta Risultati di vulnerabilità.
Nome rilevatore | Descrizione |
---|---|
FIREWALL_NOT_MONITORED |
Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole del firewall VPC. |
NETWORK_NOT_MONITORED |
Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC. |
ROUTE_NOT_MONITORED |
Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC. |
DNS_LOGGING_DISABLED |
Questo rilevatore verifica se il logging DNS è abilitato sulla rete VPC. |
FLOW_LOGS_DISABLED |
Questo rilevatore verifica se i log di flusso sono abilitati nella subnet VPC. |
Definizione YAML
Di seguito è riportata la definizione YAML della postura predefinita per i Controlli di servizio VPC.
name: organizations/123/locations/global/postureTemplates/vpcsc_essential
description: VPCSC Posture Template
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: VPCSC preventative policy set
description: 3 org policies that new customers can automatically enable.
policies:
- policy_id: Skip default network creation
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.skipDefaultNetworkCreation
policy_rules:
- enforce: true
description: This boolean constraint skips the creation of the default network and related resources during Google Cloud Platform Project resource creation where this constraint is set to True. By default, a default network and supporting resources are automatically created when creating a Project resource.
- policy_id: Restrict public IP access on new Vertex AI Workbench notebooks and instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: ainotebooks.restrictPublicIp
policy_rules:
- enforce: true
description: This boolean constraint, when enforced, restricts public IP access to newly created Vertex AI Workbench notebooks and instances. By default, public IPs can access Vertex AI Workbench notebooks and instances.
- policy_id: Disable VM nested virtualization
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableNestedVirtualization
policy_rules:
- enforce: true
description: This boolean constraint disables hardware-accelerated nested virtualization for all Compute Engine VMs belonging to the organization, project, or folder where this constraint is set to True. By default, hardware-accelerated nested virtualization is allowed for all Compute Engine VMs running on Intel Haswell or newer CPU platforms.
- policy_set_id: VPCSC detective policy set
description: 5 SHA modules that new customers can automatically enable.
policies:
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED