此页面由 Cloud Translation API 翻译。

适用于 VPC 网络的预定义状态（已扩展）

本页面介绍了 Google Cloud 中虚拟私有云 (VPC) 预定义安全状况的 v.1.0 版本扩展网络。此状态包括两个政策集：

一组政策，其中包含应用于 VPC 网络。
一组政策，其中包含适用于 VPC 网络。

您可以使用此预定义状态来配置有助于保护 VPC 网络的安全状态。如果您想部署此预定义状态，则必须自定义某些政策，以便将其应用于您的环境。

组织政策限制条件

下表介绍了此状态中包含的组织政策限制条件。

政策	说明	合规标准
`compute.skipDefaultNetworkCreation`	此布尔值约束条件会在每个新项目中停用自动创建默认 VPC 网络和默认防火墙规则的功能，确保有意创建网络和防火墙规则。值为 `true`，以避免创建默认 VPC 网络。	NIST SP 800-53 对照组：SC-7 和 SC-8
`ainotebooks.restrictPublicIp`	此布尔值限制条件将公共 IP 访问权限限制为新创建的 Vertex AI Workbench 笔记本和实例。默认情况下，公共 IP 地址可以访问 Vertex AI Workbench 笔记本和实例。值为 `true`，用于限制新集群的公共 IP 访问权限 Vertex AI Workbench 笔记本和实例。	NIST SP 800-53 对照组：SC-7 和 SC-8
`compute.disableNestedVirtualization`	此布尔值限制条件会为所有 Compute Engine 虚拟机停用嵌套虚拟化，以降低与不受监控的嵌套实例相关的安全风险。值为 `true` 表示关闭虚拟机嵌套虚拟化。	NIST SP 800-53 控制措施：SC-7 和 SC-8
`compute.vmExternalIpAccess`	此列表限制条件定义了可以使用外部 IP 地址的 Compute Engine 虚拟机实例。默认情况下，所有虚拟机实例都可以使用外部 IP 地址。限制条件使用如下格式： `projects/PROJECT_ID/zones/ZONE/instances/INSTANCE`。采用此预定义状态时，您必须配置此值。	NIST SP 800-53 对照组：SC-7 和 SC-8
`ainotebooks.restrictVpcNetworks`	此列表限制条件定义了在强制执行此限制条件后，用户在创建新的 Vertex AI Workbench 实例时可以选择的 VPC 网络。如果采用此预定义值，您必须配置此值状态。	NIST SP 800-53 对照组：SC-7 和 SC-8
`compute.vmCanIpForward`	此列表限制条件定义了用户在创建新的 Vertex AI Workbench 实例时可以选择的 VPC 网络。修改者你可以使用任意一款 VPC 网络。如果采用此预定义值，您必须配置此值状态。	NIST SP 800-53 控制措施：SC-7 和 SC-8

Security Health Analytics 检测器

下表介绍了预定义的安全状况。如需详细了解这些检测器，请参阅漏洞发现结果。

检测器名称	说明
`FIREWALL_NOT_MONITORED`	此检测器用于检查日志指标和提醒是否未配置为监控 VPC 防火墙规则更改。
`NETWORK_NOT_MONITORED`	此检测器会检查日志指标和提醒是否未配置为监控 VPC 网络更改。
`ROUTE_NOT_MONITORED`	此检测器会检查是否未将日志指标和提醒配置为监控 VPC 网络路由更改。
`DNS_LOGGING_DISABLED`	此检测器会检查 VPC 网络上是否已启用 DNS 日志记录。
`FLOW_LOGS_DISABLED`	此检测器会检查 VPC 子网是否启用了流日志。
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	此检测器会检查 VPC 子网的 `enableFlowLogs` 属性是否缺失或设置为 `false`。

查看状况模板

如需查看扩展的 VPC 网络的安全状况模板，请执行以下操作：

gcloud

在使用下面的命令数据之前，请先进行以下替换：

ORGANIZATION_ID：组织的数字 ID

执行 gcloud scc posture-templates describe 命令：

Linux、macOS 或 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

响应包含配置状态模板。

REST

在使用任何请求数据之前，请先进行以下替换：

ORGANIZATION_ID：组织的数字 ID

HTTP 方法和网址：

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

如需发送您的请求，请展开以下选项之一：

curl（Linux、macOS 或 Cloud Shell）

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI，或者使用了 Cloud Shell，这会使您自动登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

执行以下命令：

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended"

PowerShell (Windows)

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

执行以下命令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended" | Select-Object -Expand Content

响应包含状况模板。

后续步骤

使用此预定义安全状况创建安全状况。