En esta página, se describen las políticas preventivas y de detección que se incluyen en la versión 1.0 de la postura predefinida para las redes de nube privada virtual (VPC) extendidas. Esta postura incluye dos conjuntos de políticas:
Un conjunto de políticas que incluye restricciones de políticas de la organización que se aplican a las redes de VPC
Un conjunto de políticas que incluye detectores de Security Health Analytics que se aplican a las redes de VPC.
Puedes usar esta postura predefinida para configurar una postura de seguridad que ayude a proteger las redes de VPC. Si deseas implementar esta postura predefinida, debes personalizar algunas de las políticas para que se apliquen a tu entorno.
Restricciones de las políticas de la organización
En la siguiente tabla, se describen las restricciones de la política de la organización que se incluyen en esta postura.
Política | Descripción | Estándar de cumplimiento |
---|---|---|
compute.skipDefaultNetworkCreation |
Esta restricción booleana inhabilita la creación automática de una red de VPC predeterminada y reglas de firewall predeterminadas en cada proyecto nuevo, lo que garantiza que las reglas de red y firewall se creen de forma intencional. El valor es |
Control de la SP 800-53 del NIST: SC-7 y SC-8 |
ainotebooks.restrictPublicIp |
Esta restricción booleana restringe el acceso de IP pública a los notebooks y las instancias de Vertex AI Workbench que se crearon recientemente. De forma predeterminada, las direcciones IP públicas pueden acceder a los notebooks y las instancias de Vertex AI Workbench. El valor es |
Control de la SP 800-53 del NIST: SC-7 y SC-8 |
compute.disableNestedVirtualization |
Esta restricción booleana inhabilita la virtualización anidada para todas las VMs de Compute Engine para disminuir el riesgo de seguridad relacionado con las instancias anidadas sin supervisión. El valor es |
Control de la SP 800-53 del NIST: SC-7 y SC-8 |
compute.vmExternalIpAccess |
En esta restricción de lista, se definen las instancias de VM de Compute Engine que pueden usar direcciones IP externas. De forma predeterminada, todas las instancias de VM pueden usar direcciones IP externas. La restricción usa el formato Debes configurar este valor cuando adoptes esta postura predefinida. |
Control de la SP 800-53 del NIST: SC-7 y SC-8 |
ainotebooks.restrictVpcNetworks |
Esta restricción de lista define las redes de VPC que un usuario puede seleccionar cuando crea instancias nuevas de Vertex AI Workbench en las que se aplica esta restricción. Debes configurar este valor cuando adoptes esta postura predefinida. |
Control de la SP 800-53 del NIST: SC-7 y SC-8 |
compute.vmCanIpForward |
Esta restricción de lista define las redes de VPC que un usuario puede seleccionar cuando crea nuevas instancias de Vertex AI Workbench. De forma predeterminada, puedes crear una instancia de Vertex AI Workbench con cualquier red de VPC. Debes configurar este valor cuando adoptes esta postura predefinida. |
Control de la SP 800-53 del NIST: SC-7 y SC-8 |
Detectores de estadísticas de estado de seguridad
En la siguiente tabla, se describen los detectores de Security Health Analytics que se incluyen en la postura predefinida. Para obtener más información sobre estos detectores, consulta Hallazgos de vulnerabilidades.
Nombre del detector | Descripción |
---|---|
FIREWALL_NOT_MONITORED |
Este detector verifica si las métricas y alertas de registro no están configuradas para supervisar los cambios en las reglas de firewall de la VPC. |
NETWORK_NOT_MONITORED |
Este detector verifica si las métricas y las alertas de registros no están configuradas para supervisar los cambios de la red de VPC. |
ROUTE_NOT_MONITORED |
Este detector verifica si las métricas y las alertas de registros no están configuradas para supervisar los cambios de ruta de la red de VPC. |
DNS_LOGGING_DISABLED |
Este detector verifica si el registro DNS está habilitado en la red de VPC. |
FLOW_LOGS_DISABLED |
Este detector verifica si los registros de flujo están habilitados en la subred de la VPC. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Este detector verifica si falta la propiedad |
Cómo ver la plantilla de postura
Para ver la plantilla de postura de la red de VPC extendida, haz lo siguiente:
gcloud
Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID
: El ID numérico de la organización
Ejecuta el comando
gcloud scc posture-templates
describe
:
:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
La respuesta contiene la plantilla de postura.
REST
Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
-
ORGANIZATION_ID
: El ID numérico de la organización
Método HTTP y URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
Para enviar tu solicitud, expande una de estas opciones:
La respuesta contiene la plantilla de postura.