Auf dieser Seite werden die präventiven und erkennungsbezogenen Richtlinien beschrieben, die in der Version 1.0 der erweiterten vordefinierten Haltung für VPC-Netzwerke (Virtual Private Cloud) enthalten sind. Diese Haltung umfasst zwei Richtliniensätze:
Eine Richtliniengruppe, die Einschränkungen von Organisationsrichtlinien enthält, die für VPC-Netzwerke gelten.
Eine Richtliniengruppe, die Security Health Analytics-Detektoren enthält, die für VPC-Netzwerke gelten.
Sie können diese vordefinierte Sicherheitskonfiguration verwenden, um eine Sicherheitskonfiguration zu konfigurieren, die zum Schutz von VPC-Netzwerken beiträgt. Wenn Sie diese vordefinierte Posture bereitstellen möchten, müssen Sie einige der Richtlinien so anpassen, dass sie auf Ihre Umgebung zutreffen.
Einschränkungen für Organisationsrichtlinien
In der folgenden Tabelle werden die Einschränkungen der Organisationsrichtlinie beschrieben, die in dieser Haltung enthalten sind.
Policy | Beschreibung | Compliancestandard |
---|---|---|
compute.skipDefaultNetworkCreation |
Mit dieser booleschen Einschränkung wird das automatische Erstellen eines Standard-VPC-Netzwerk und Standard-Firewallregeln in jedem neuen Projekt deaktiviert. So wird sichergestellt, dass Netzwerk- und Firewallregeln bewusst erstellt werden. Der Wert ist |
NIST SP 800-53-Kontrolle: SC-7 und SC-8 |
ainotebooks.restrictPublicIp |
Mit dieser booleschen Einschränkung wird der Zugriff auf neu erstellte Vertex AI Workbench-Notebooks und ‑Instanzen über öffentliche IP-Adressen eingeschränkt. Standardmäßig kann über öffentliche IP-Adressen auf Vertex AI Workbench-Notebooks und ‑Instanzen zugegriffen werden. Der Wert ist |
NIST SP 800-53-Kontrolle: SC-7 und SC-8 |
compute.disableNestedVirtualization |
Mit dieser booleschen Einschränkung wird die verschachtelte Virtualisierung für alle Compute Engine-VMs deaktiviert, um das Sicherheitsrisiko im Zusammenhang mit nicht überwachten verschachtelten Instanzen zu verringern. Der Wert ist |
NIST SP 800-53-Kontrolle: SC-7 und SC-8 |
compute.vmExternalIpAccess |
Mit dieser Listeneinschränkung werden die Compute Engine-VM-Instanzen definiert, die externe IP-Adressen verwenden dürfen. Standardmäßig können alle VM-Instanzen externe IP-Adressen verwenden. Die Einschränkung hat das Format Sie müssen diesen Wert konfigurieren, wenn Sie diese vordefinierte Haltung übernehmen. |
NIST SP 800-53-Kontrolle: SC-7 und SC-8 |
ainotebooks.restrictVpcNetworks |
Mit dieser Listeneinschränkung werden die VPC-Netzwerke definiert, die ein Nutzer auswählen kann, wenn er neue Vertex AI Workbench-Instanzen erstellt, in denen diese Einschränkung erzwungen wird. Sie müssen diesen Wert konfigurieren, wenn Sie diese vordefinierte Haltung übernehmen. |
NIST SP 800-53-Kontrolle: SC-7 und SC-8 |
compute.vmCanIpForward |
Mit dieser Listeneinschränkung werden die VPC-Netzwerke definiert, die ein Nutzer beim Erstellen neuer Vertex AI Workbench-Instanzen auswählen kann. Standardmäßig können Sie eine Vertex AI Workbench-Instanz mit beliebigen VPC-Netzwerk erstellen. Sie müssen diesen Wert konfigurieren, wenn Sie diese vordefinierte Haltung übernehmen. |
NIST SP 800-53-Kontrolle: SC-7 und SC-8 |
Security Health Analytics – Detektoren
In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in der vordefinierten Haltung enthalten sind. Weitere Informationen zu diesen Detektoren finden Sie unter Erfasste Sicherheitslücken.
Detektorname | Beschreibung |
---|---|
FIREWALL_NOT_MONITORED |
Dieser Prüfmechanismus prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an VPC-Firewallregeln konfiguriert sind. |
NETWORK_NOT_MONITORED |
Dieser Prüfmechanismus prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert sind. |
ROUTE_NOT_MONITORED |
Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert sind. |
DNS_LOGGING_DISABLED |
Mit diesem Detektor wird geprüft, ob das DNS-Logging im VPC-Netzwerk aktiviert ist. |
FLOW_LOGS_DISABLED |
Dieser Detektor prüft, ob Flusslogs im VPC-Subnetz aktiviert sind. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Dieser Detektor prüft, ob das Attribut |
Vorlage für den Sicherheitsstatus ansehen
So rufen Sie die erweiterte Vorlage für die Bewertung von VPC-Netzwerken auf:
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
ORGANIZATION_ID
: die numerische ID der Organisation
Führen Sie den Befehl gcloud scc posture-templates
describe
aus:
Linux, macOS oder Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
Die Antwort enthält die Vorlage für die Bewertung.
REST
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
-
ORGANIZATION_ID
: die numerische ID der Organisation
HTTP-Methode und URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:
Die Antwort enthält die Vorlage für die Bewertung.