本页介绍了 v1.0 版的 Virtual Private Cloud (VPC) 网络预定义状态(已扩展)中包含的预防和检测政策。此状态包括两组政策:
包含适用于 VPC 网络的组织政策限制条件的政策集。
包含适用于 VPC 网络的 Security Health Analytics 检测器的政策集。
您可以使用此预定义状态来配置有助于保护 VPC 网络的安全状态。如果您想部署此预定义状态,则必须自定义某些政策,以便将其应用于您的环境。
组织政策限制条件
下表介绍了此状态中包含的组织政策限制条件。
政策 | 说明 | 合规标准 |
---|---|---|
compute.skipDefaultNetworkCreation |
此布尔值约束条件会在每个新项目中停用自动创建默认 VPC 网络和默认防火墙规则的功能,确保有意创建网络和防火墙规则。 值为 |
NIST SP 800-53 控制措施:SC-7 和 SC-8 |
ainotebooks.restrictPublicIp |
此布尔值限制条件会限制公共 IP 对新创建的 Vertex AI Workbench 笔记本和实例的访问权限。默认情况下,公共 IP 地址可以访问 Vertex AI Workbench 笔记本和实例。 值为 |
NIST SP 800-53 控制措施:SC-7 和 SC-8 |
compute.disableNestedVirtualization |
此布尔值限制条件会为所有 Compute Engine 虚拟机停用嵌套虚拟化,以降低与不受监控的嵌套实例相关的安全风险。 值为 |
NIST SP 800-53 控制措施:SC-7 和 SC-8 |
compute.vmExternalIpAccess |
此列表限制条件定义了可以使用外部 IP 地址的 Compute Engine 虚拟机实例。默认情况下,所有虚拟机实例都可以使用外部 IP 地址。该约束条件使用 采用此预定义的设备状态时,您必须配置此值。 |
NIST SP 800-53 控制措施:SC-7 和 SC-8 |
ainotebooks.restrictVpcNetworks |
此列表限制条件定义了在强制执行此限制条件后,用户在创建新的 Vertex AI Workbench 实例时可以选择的 VPC 网络。 采用此预定义状态时,您必须配置此值。 |
NIST SP 800-53 控制措施:SC-7 和 SC-8 |
compute.vmCanIpForward |
此列表限制条件定义了用户在创建新的 Vertex AI Workbench 实例时可以选择的 VPC 网络。默认情况下,您可以使用任何 VPC 网络创建 Vertex AI Workbench 实例。 采用此预定义的设备状态时,您必须配置此值。 |
NIST SP 800-53 控制措施:SC-7 和 SC-8 |
Security Health Analytics 检测器
下表介绍了预定义状态中包含的 Security Health Analytics 检测器。如需详细了解这些检测器,请参阅漏洞发现结果。
检测器名称 | 说明 |
---|---|
FIREWALL_NOT_MONITORED |
此检测器用于检查日志指标和提醒是否未配置为监控 VPC 防火墙规则更改。 |
NETWORK_NOT_MONITORED |
此检测器用于检查日志指标和提醒是否未配置为监控 VPC 网络更改。 |
ROUTE_NOT_MONITORED |
此检测器用于检查日志指标和提醒是否未配置为监控 VPC 网络路由更改。 |
DNS_LOGGING_DISABLED |
此检测器会检查 VPC 网络上是否已启用 DNS 日志记录。 |
FLOW_LOGS_DISABLED |
此检测器会检查 VPC 子网上是否已启用流日志。 |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
此检测器会检查 VPC 子网的 |
查看安全状况模板
如需查看 VPC 网络(已扩展)的配置状态模板,请执行以下操作:
gcloud
在使用下面的命令数据之前,请先进行以下替换:
-
ORGANIZATION_ID
:组织的数字 ID
执行 gcloud scc posture-templates
describe
命令:
Linux、macOS 或 Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
响应包含配置状态模板。
REST
在使用任何请求数据之前,请先进行以下替换:
-
ORGANIZATION_ID
:组织的数字 ID
HTTP 方法和网址:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
如需发送您的请求,请展开以下选项之一:
响应包含配置状态模板。