Vordefinierter Sicherheitsstatus für VPC-Netzwerke, erweitert

Auf dieser Seite werden die präventiven und erkennungsbezogenen Richtlinien beschrieben, die in der Version 1.0 der erweiterten vordefinierten Haltung für VPC-Netzwerke (Virtual Private Cloud) enthalten sind. Diese Haltung umfasst zwei Richtliniensätze:

  • Eine Richtliniengruppe, die Einschränkungen von Organisationsrichtlinien enthält, die für VPC-Netzwerke gelten.

  • Eine Richtliniengruppe, die Security Health Analytics-Detektoren enthält, die für VPC-Netzwerke gelten.

Mit diesem vordefinierten Status können Sie einen Sicherheitsstatus konfigurieren, der zum Schutz des VPC-Netzwerks. Wenn Sie diese vordefinierten müssen Sie einige Richtlinien so anpassen, dass sie für Ihre zu verbessern.

Einschränkungen für Organisationsrichtlinien

In der folgenden Tabelle werden die Einschränkungen der Organisationsrichtlinie beschrieben, die in dieser Haltung enthalten sind.

Policy Beschreibung Compliancestandard
compute.skipDefaultNetworkCreation

Diese boolesche Einschränkung deaktiviert die automatische Erstellung einer Standardeinstellung VPC-Netzwerk und Standard-Firewallregeln in jedem neuen Projekt, Netzwerk- und Firewallregeln absichtlich erstellt werden.

Der Wert ist true, damit kein Standard-VPC-Netzwerk erstellt wird.

 NIST SP 800-53-Kontrolle: SC-7 und SC-8
ainotebooks.restrictPublicIp

Diese boolesche Einschränkung schränkt den Zugriff über öffentliche IP-Adressen auf neu erstellte Vertex AI Workbench-Notebooks und -Instanzen. Standardmäßig kann über öffentliche IP-Adressen auf Vertex AI Workbench-Notebooks und ‑Instanzen zugegriffen werden.

Der Wert ist true, um den Zugriff über öffentliche IP-Adressen auf neue Vertex AI Workbench-Notebooks und ‑Instanzen einzuschränken.

 NIST SP 800-53-Kontrolle: SC-7 und SC-8
compute.disableNestedVirtualization

Mit dieser booleschen Einschränkung wird die verschachtelte Virtualisierung für alle Compute Engine-VMs deaktiviert, um das Sicherheitsrisiko im Zusammenhang mit nicht überwachten verschachtelten Instanzen zu verringern.

Der Wert ist true, um die verschachtelte VM zu deaktivieren Virtualisierung.

 NIST SP 800-53-Kontrolle: SC-7 und SC-8
compute.vmExternalIpAccess

Mit dieser Listeneinschränkung werden die Compute Engine-VM-Instanzen definiert, externe IP-Adressen verwenden dürfen. Standardmäßig können alle VM-Instanzen externe IP-Adressen verwenden. Die Einschränkung hat das Format projects/PROJECT_ID/zones/ZONE/instances/INSTANCE.

Sie müssen diesen Wert konfigurieren, wenn Sie diese vordefinierte Haltung übernehmen.

 NIST SP 800-53-Kontrolle: SC-7 und SC-8
ainotebooks.restrictVpcNetworks

Mit dieser Listeneinschränkung werden die VPC-Netzwerke definiert, die ein Nutzer kann auswählen, wenn Sie neue Vertex AI Workbench-Instanzen erstellen, Beschränkung erzwungen.

Sie müssen diesen Wert konfigurieren, wenn Sie diesen vordefinierten Wert übernehmen Körperhaltung.

 NIST SP 800-53-Kontrolle: SC-7 und SC-8
compute.vmCanIpForward

Mit dieser Listeneinschränkung werden die VPC-Netzwerke definiert, Nutzer beim Erstellen neuer Vertex AI Workbench-Instanzen auswählen können. Standardmäßig können Sie eine Vertex AI Workbench-Instanz mit beliebigen VPC-Netzwerken erstellen.

Sie müssen diesen Wert konfigurieren, wenn Sie diesen vordefinierten Wert übernehmen Körperhaltung.

 NIST SP 800-53-Kontrolle: SC-7 und SC-8

Security Health Analytics – Detektoren

In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in der vordefinierten Haltung enthalten sind. Weitere Informationen zu diesen Detektoren finden Sie unter Erfasste Sicherheitslücken.

Detektorname Beschreibung
FIREWALL_NOT_MONITORED

Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht zum Überwachen von Änderungen der VPC-Firewallregel konfiguriert sind.
NETWORK_NOT_MONITORED

Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht zum Überwachen von VPC-Netzwerkänderungen konfiguriert sind.
ROUTE_NOT_MONITORED

Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht zum Überwachen von Änderungen der VPC-Netzwerkroute konfiguriert sind.
DNS_LOGGING_DISABLED

Dieser Detektor prüft, ob DNS-Logging im VPC-Netzwerk aktiviert ist.
FLOW_LOGS_DISABLED

Dieser Detektor prüft, ob Flusslogs im VPC-Subnetz aktiviert sind.
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Dieser Detektor prüft, ob das Attribut enableFlowLogs von VPC-Subnetzwerken fehlt oder auf false festgelegt ist.

Posture-Vorlage ansehen

So rufen Sie die erweiterte Vorlage für die Bewertung von VPC-Netzwerken auf:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

  • ORGANIZATION_ID: die numerische ID der Organisation

Führen Sie den gcloud scc posture-templates describe Befehl:

Linux, macOS oder Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Die Antwort enthält die Vorlage für die Bewertung.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • ORGANIZATION_ID: die numerische ID der Organisation

HTTP-Methode und URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

Die Antwort enthält die Vorlage für die Bewertung.

Nächste Schritte