适用于 VPC 网络的预定义状态(已扩展)

本页介绍了 v1.0 版的 Virtual Private Cloud (VPC) 网络预定义状态(已扩展)中包含的预防和检测政策。此状态包括两组政策:

  • 包含适用于 VPC 网络的组织政策限制条件的政策集。

  • 包含适用于 VPC 网络的 Security Health Analytics 检测器的政策集。

您可以使用此预定义状态来配置有助于保护 VPC 网络的安全状态。如果您想部署此预定义状态,则必须自定义某些政策,以便将其应用于您的环境。

组织政策限制条件

下表介绍了此状态中包含的组织政策限制条件。

政策 说明 合规标准
compute.skipDefaultNetworkCreation

此布尔值约束条件会在每个新项目中停用自动创建默认 VPC 网络和默认防火墙规则的功能,确保有意创建网络和防火墙规则。

值为 true,以避免创建默认 VPC 网络。

NIST SP 800-53 控制措施:SC-7 和 SC-8
ainotebooks.restrictPublicIp

此布尔值限制条件会限制公共 IP 对新创建的 Vertex AI Workbench 笔记本和实例的访问权限。默认情况下,公共 IP 地址可以访问 Vertex AI Workbench 笔记本和实例。

值为 true 表示限制对新的 Vertex AI Workbench 笔记本和实例的公共 IP 访问权限。

NIST SP 800-53 控制措施:SC-7 和 SC-8
compute.disableNestedVirtualization

此布尔值限制条件会为所有 Compute Engine 虚拟机停用嵌套虚拟化,以降低与不受监控的嵌套实例相关的安全风险。

值为 true 表示关闭虚拟机嵌套虚拟化。

NIST SP 800-53 控制措施:SC-7 和 SC-8
compute.vmExternalIpAccess

此列表限制条件定义了可以使用外部 IP 地址的 Compute Engine 虚拟机实例。默认情况下,所有虚拟机实例都可以使用外部 IP 地址。该约束条件使用 projects/PROJECT_ID/zones/ZONE/instances/INSTANCE 格式。

采用此预定义的设备状态时,您必须配置此值。

NIST SP 800-53 控制措施:SC-7 和 SC-8
ainotebooks.restrictVpcNetworks

此列表限制条件定义了在强制执行此限制条件后,用户在创建新的 Vertex AI Workbench 实例时可以选择的 VPC 网络。

采用此预定义状态时,您必须配置此值。

NIST SP 800-53 控制措施:SC-7 和 SC-8
compute.vmCanIpForward

此列表限制条件定义了用户在创建新的 Vertex AI Workbench 实例时可以选择的 VPC 网络。默认情况下,您可以使用任何 VPC 网络创建 Vertex AI Workbench 实例。

采用此预定义的设备状态时,您必须配置此值。

NIST SP 800-53 控制措施:SC-7 和 SC-8

Security Health Analytics 检测器

下表介绍了预定义状态中包含的 Security Health Analytics 检测器。如需详细了解这些检测器,请参阅漏洞发现结果

检测器名称 说明
FIREWALL_NOT_MONITORED

此检测器用于检查日志指标和提醒是否未配置为监控 VPC 防火墙规则更改。

NETWORK_NOT_MONITORED

此检测器用于检查日志指标和提醒是否未配置为监控 VPC 网络更改。

ROUTE_NOT_MONITORED

此检测器用于检查日志指标和提醒是否未配置为监控 VPC 网络路由更改。

DNS_LOGGING_DISABLED

此检测器会检查 VPC 网络上是否已启用 DNS 日志记录。

FLOW_LOGS_DISABLED

此检测器会检查 VPC 子网上是否已启用流日志。

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

此检测器会检查 VPC 子网的 enableFlowLogs 属性是否缺失或设置为 false

查看安全状况模板

如需查看 VPC 网络(已扩展)的配置状态模板,请执行以下操作:

gcloud

在使用下面的命令数据之前,请先进行以下替换:

  • ORGANIZATION_ID:组织的数字 ID

执行 gcloud scc posture-templates describe 命令:

Linux、macOS 或 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

响应包含配置状态模板。

REST

在使用任何请求数据之前,请先进行以下替换:

  • ORGANIZATION_ID:组织的数字 ID

HTTP 方法和网址:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

如需发送您的请求,请展开以下选项之一:

响应包含配置状态模板。

后续步骤