Se usó la API de Cloud Translation para traducir esta página.

Es la postura predefinida para las redes de VPC,

En esta página, se describen las políticas de detección y prevención que se incluyen en la versión v.1.0 de la postura predefinida para la nube privada virtual (VPC) las herramientas de redes, extendidas. Esta postura incluye dos conjuntos de políticas:

Un conjunto de políticas que incluye restricciones de políticas de la organización que se aplican a las herramientas de redes de VPC.
Un conjunto de políticas que incluye detectores de Security Health Analytics que se aplican a las herramientas de redes de VPC.

Puedes usar esta postura predefinida para configurar una postura de seguridad que ayude a proteger las redes de VPC. Si quieres implementar esta configuración debes personalizar algunas de las políticas para que se apliquen en un entorno de nube.

Restricciones de las políticas de la organización

En la siguiente tabla, se describen las restricciones de las políticas de la organización incluidas en esta postura.

Política	Descripción	Estándar de cumplimiento
`compute.skipDefaultNetworkCreation`	Esta restricción booleana inhabilita la creación automática de un red de VPC y reglas de firewall predeterminadas en cada proyecto nuevo, lo que garantiza las reglas de red y firewall se crean intencionalmente. El valor es `true` para evitar crear la red de VPC predeterminada.	Control de NIST SP 800-53: SC-7 y SC-8
`ainotebooks.restrictPublicIp`	Esta restricción booleana restringe el acceso de IP pública a los notebooks y las instancias de Vertex AI Workbench que se crearon recientemente. De forma predeterminada, las IP públicas pueden acceder a los notebooks y las instancias de Vertex AI Workbench. El valor es `true` para restringir el acceso de IP pública en nuevos Instancias y notebooks de Vertex AI Workbench.	Control de NIST SP 800-53: SC-7 y SC-8
`compute.disableNestedVirtualization`	Esta restricción booleana inhabilita la virtualización anidada para todos VMs de Compute Engine para disminuir los riesgos de seguridad relacionados con VMs instancias anidadas. El valor es `true` para desactivar la virtualización anidada de la VM.	Control de NIST SP 800-53: SC-7 y SC-8
`compute.vmExternalIpAccess`	En esta restricción de lista, se definen las instancias de VM de Compute Engine que se pueden usar direcciones IP externas. De forma predeterminada, se permiten todas las instancias de VM para usar direcciones IP externas. La restricción usa el formato `projects/PROJECT_ID/zones/ZONE/instances/INSTANCE`. Debes configurar este valor cuando adoptes este de seguridad y garantizar la postura de seguridad en general.	Control de NIST SP 800-53: SC-7 y SC-8
`ainotebooks.restrictVpcNetworks`	Esta restricción de lista define las redes de VPC que un usuario puede seleccionar cuando crees nuevas instancias de Vertex AI Workbench en las que esta se aplica de forma forzosa. Debes configurar este valor cuando adoptes este de seguridad y garantizar la postura de seguridad en general.	Control de NIST SP 800-53: SC-7 y SC-8
`compute.vmCanIpForward`	Esta restricción de lista define las redes de VPC a las que que el usuario puede seleccionar cuando crea instancias nuevas de Vertex AI Workbench. De de forma predeterminada, puedes crear una instancia de Vertex AI Workbench con cualquier de VPC de Google Cloud. Debes configurar este valor cuando adoptes este de seguridad y garantizar la postura de seguridad en general.	Control de la SP 800-53 del NIST: SC-7 y SC-8

Detectores de estadísticas de estado de seguridad

En la siguiente tabla, se describen los detectores de Security Health Analytics que se incluyen en la postura predefinida. Para obtener más información sobre estos detectores, consulta Hallazgos de vulnerabilidades.

Nombre del detector	Descripción
`FIREWALL_NOT_MONITORED`	Este detector verifica si las métricas y alertas de registro no están configuradas para supervisar los cambios en las reglas de firewall de la VPC.
`NETWORK_NOT_MONITORED`	Este detector verifica si las métricas de registros y las alertas no están configuradas para supervisar los cambios en la red de VPC.
`ROUTE_NOT_MONITORED`	Este detector verifica si las métricas y las alertas de registros no están configuradas para supervisar los cambios de ruta de la red de VPC.
`DNS_LOGGING_DISABLED`	Este detector verifica si el registro DNS está habilitado en la red de VPC.
`FLOW_LOGS_DISABLED`	Este detector verifica si los registros de flujo están habilitados en la subred de la VPC.
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	Este detector verifica si falta la propiedad `enableFlowLogs` de las subredes de VPC o si está configurada en `false`.

Cómo ver la plantilla de postura

Para ver la plantilla de postura de las redes de VPC extendida, haz lo siguiente:

gcloud

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

ORGANIZATION_ID: El ID numérico de la organización

Ejecuta el comando gcloud scc posture-templates describe :

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

La respuesta contiene la plantilla de postura.

REST

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

ORGANIZATION_ID: El ID numérico de la organización

Método HTTP y URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login, o a través del uso de Cloud Shell, que accede de forma automática a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended"

PowerShell (Windows)

Nota: El siguiente comando supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended" | Select-Object -Expand Content

La respuesta contiene la plantilla de postura.

¿Qué sigue?

Crea una postura de seguridad con esta postura predefinida.