Postura predefinida para rede VPC, estendida

Esta página descreve as políticas preventivas e de detecção incluídas na versão v.1.0 da postura predefinida para redes de nuvem privada virtual (VPC), estendida. Essa postura inclui dois conjuntos de políticas:

  • Um conjunto de políticas que inclui restrições de políticas da organização que se aplicam à rede VPC.

  • Um conjunto de políticas que inclui detectores do Security Health Analytics que se aplicam à rede VPC.

É possível usar essa postura predefinida para configurar uma postura de segurança que ajude a proteger a rede VPC. Se você quiser implantar essa postura predefinida, será necessário personalizar algumas das políticas para que elas sejam aplicadas ao ambiente.

Restrições da política da organização

A tabela a seguir descreve as restrições da política da organização que são incluídas nessa postura.

Política Descrição Padrão de conformidade
compute.skipDefaultNetworkCreation

Essa restrição booleana desativa a criação automática de uma rede VPC padrão e regras de firewall padrão em cada novo projeto, garantindo que as regras de rede e de firewall sejam criadas intencionalmente.

O valor é true para evitar a criação da rede VPC padrão.

Controle NIST SP 800-53: SC-7 e SC-8
ainotebooks.restrictPublicIp

Essa restrição booleana restringe o acesso de IP público a notebooks e instâncias recém-criadas do Vertex AI Workbench. Por padrão, os endereços IP públicos podem acessar os notebooks e as instâncias do Vertex AI Workbench.

O valor é true para restringir o acesso de IPs públicos em novos notebooks e instâncias do Vertex AI Workbench.

Controle NIST SP 800-53: SC-7 e SC-8
compute.disableNestedVirtualization

Essa restrição booleana desativa a virtualização aninhada para todas as VMs do Compute Engine para diminuir o risco de segurança relacionado a instâncias aninhadas não monitoradas.

O valor é true para desativar a virtualização aninhada da VM.

Controle NIST SP 800-53: SC-7 e SC-8
compute.vmExternalIpAccess

Essa restrição de lista define as instâncias de VM do Compute Engine que podem usar endereços IP externo. Por padrão, todas as instâncias de VM podem usar endereços IP externo. A restrição usa o formato projects/PROJECT_ID/zones/ZONE/instances/INSTANCE.

Você precisa configurar esse valor ao adotar essa postura predefinida.

Controle NIST SP 800-53: SC-7 e SC-8
ainotebooks.restrictVpcNetworks

Esta restrição de lista define as redes VPC que um usuário pode selecionar ao criar novas instâncias do Vertex AI Workbench em que essa restrição é aplicada.

Você precisa configurar esse valor ao adotar essa postura predefinida.

Controle NIST SP 800-53: SC-7 e SC-8
compute.vmCanIpForward

Esta restrição de lista define as redes VPC que um usuário pode selecionar ao criar novas instâncias do Vertex AI Workbench. Por padrão, é possível criar uma instância do Vertex AI Workbench com qualquer rede VPC.

Você precisa configurar esse valor ao adotar essa postura predefinida.

Controle NIST SP 800-53: SC-7 e SC-8

Detectores do Security Health Analytics

A tabela a seguir descreve os detectores da Security Health Analytics incluídos na postura predefinida. Para mais informações sobre esses detectores, consulte Descobertas de vulnerabilidade.

Nome do detector Descrição
FIREWALL_NOT_MONITORED

Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as alterações na regra do firewall da VPC.

NETWORK_NOT_MONITORED

Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar mudanças na rede VPC.

ROUTE_NOT_MONITORED

Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar mudanças na rota da rede VPC.

DNS_LOGGING_DISABLED

Esse detector verifica se a geração de registros de DNS está ativada na rede VPC.

FLOW_LOGS_DISABLED

Esse detector verifica se os registros de fluxo estão ativados na sub-rede da VPC.

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Esse detector verifica se a propriedade enableFlowLogs das sub-redes VPC está ausente ou definida como false.

Conferir o modelo de postura

Para conferir o modelo de postura para rede VPC estendido, faça o seguinte:

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORGANIZATION_ID: o ID numérico da organização

Execute o comando gcloud scc posture-templates describe:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

A resposta contém o modelo de postura.

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Para enviar a solicitação, expanda uma destas opções:

A resposta contém o modelo de postura.

A seguir