Esta página descreve as políticas preventivas e de detecção incluídas na versão v.1.0 da postura predefinida para redes de nuvem privada virtual (VPC), estendida. Essa postura inclui dois conjuntos de políticas:
Um conjunto de políticas que inclui restrições de políticas da organização que se aplicam à rede VPC.
Um conjunto de políticas que inclui detectores do Security Health Analytics que se aplicam à rede VPC.
É possível usar essa postura predefinida para configurar uma postura de segurança que ajude a proteger a rede VPC. Se você quiser implantar essa postura predefinida, será necessário personalizar algumas das políticas para que elas sejam aplicadas ao ambiente.
Restrições da política da organização
A tabela a seguir descreve as restrições da política da organização que são incluídas nessa postura.
Política | Descrição | Padrão de conformidade |
---|---|---|
compute.skipDefaultNetworkCreation |
Essa restrição booleana desativa a criação automática de uma rede VPC padrão e regras de firewall padrão em cada novo projeto, garantindo que as regras de rede e de firewall sejam criadas intencionalmente. O valor é
|
Controle NIST SP 800-53: SC-7 e SC-8 |
ainotebooks.restrictPublicIp |
Essa restrição booleana restringe o acesso de IP público a notebooks e instâncias recém-criadas do Vertex AI Workbench. Por padrão, os endereços IP públicos podem acessar os notebooks e as instâncias do Vertex AI Workbench. O valor é |
Controle NIST SP 800-53: SC-7 e SC-8 |
compute.disableNestedVirtualization |
Essa restrição booleana desativa a virtualização aninhada para todas as VMs do Compute Engine para diminuir o risco de segurança relacionado a instâncias aninhadas não monitoradas. O valor é |
Controle NIST SP 800-53: SC-7 e SC-8 |
compute.vmExternalIpAccess |
Essa restrição de lista define as instâncias de VM do Compute Engine que podem
usar endereços IP externo. Por padrão, todas as instâncias de VM podem
usar endereços IP externo. A restrição usa o formato
Você precisa configurar esse valor ao adotar essa postura predefinida. |
Controle NIST SP 800-53: SC-7 e SC-8 |
ainotebooks.restrictVpcNetworks |
Esta restrição de lista define as redes VPC que um usuário pode selecionar ao criar novas instâncias do Vertex AI Workbench em que essa restrição é aplicada. Você precisa configurar esse valor ao adotar essa postura predefinida. |
Controle NIST SP 800-53: SC-7 e SC-8 |
compute.vmCanIpForward |
Esta restrição de lista define as redes VPC que um usuário pode selecionar ao criar novas instâncias do Vertex AI Workbench. Por padrão, é possível criar uma instância do Vertex AI Workbench com qualquer rede VPC. Você precisa configurar esse valor ao adotar essa postura predefinida. |
Controle NIST SP 800-53: SC-7 e SC-8 |
Detectores do Security Health Analytics
A tabela a seguir descreve os detectores da Security Health Analytics incluídos na postura predefinida. Para mais informações sobre esses detectores, consulte Descobertas de vulnerabilidade.
Nome do detector | Descrição |
---|---|
FIREWALL_NOT_MONITORED |
Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as alterações na regra do firewall da VPC. |
NETWORK_NOT_MONITORED |
Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar mudanças na rede VPC. |
ROUTE_NOT_MONITORED |
Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar mudanças na rota da rede VPC. |
DNS_LOGGING_DISABLED |
Esse detector verifica se a geração de registros de DNS está ativada na rede VPC. |
FLOW_LOGS_DISABLED |
Esse detector verifica se os registros de fluxo estão ativados na sub-rede da VPC. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Esse detector verifica se a propriedade |
Conferir o modelo de postura
Para conferir o modelo de postura para rede VPC estendido, faça o seguinte:
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
-
ORGANIZATION_ID
: o ID numérico da organização
Execute o
comando gcloud scc posture-templates
describe
:
Linux, macOS ou Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
A resposta contém o modelo de postura.
REST
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
-
ORGANIZATION_ID
: o ID numérico da organização
Método HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
Para enviar a solicitação, expanda uma destas opções:
A resposta contém o modelo de postura.