Cette page a été traduite par l'API Cloud Translation.

Stratégie prédéfinie pour la mise en réseau VPC, étendue

Cette page décrit les règles de prévention et de détection incluses dans La version 1.0 de la stratégie prédéfinie pour le cloud privé virtuel (VPC) de la mise en réseau étendue. Cette stratégie comprend deux ensembles de règles:

Un ensemble de règles qui inclut des contraintes de règle d'administration qui s'appliquent à la mise en réseau VPC.
Un ensemble de règles qui inclut les détecteurs Security Health Analytics qui s'appliquent à la mise en réseau VPC.

Vous pouvez utiliser cette posture prédéfinie pour configurer une posture de sécurité qui aide à protéger la mise en réseau VPC. Si vous souhaitez déployer cette posture prédéfinie, vous devez personnaliser certaines des règles afin qu'elles s'appliquent à votre environnement.

Contraintes liées aux règles d'administration

Le tableau suivant décrit les contraintes liées aux règles d'administration incluses dans cette stratégie.

Règle	Description	Norme de conformité
`compute.skipDefaultNetworkCreation`	Cette contrainte booléenne désactive la création automatique d'un objet des règles de réseau VPC et de pare-feu par défaut dans chaque nouveau projet, garantissant des règles de réseau et de pare-feu sont créées intentionnellement. La valeur est `true` pour éviter de créer le réseau VPC par défaut.	Contrôle NIST SP 800-53: SC-7 et SC-8
`ainotebooks.restrictPublicIp`	Cette contrainte booléenne restreint l'accès depuis des adresses IP publiques Notebooks et instances Vertex AI Workbench. Par défaut, les adresses IP publiques peuvent accéder aux notebooks et instances Vertex AI Workbench. La valeur est `true` pour restreindre l'accès des adresses IP publiques Notebooks et instances Vertex AI Workbench.	Contrôle NIST SP 800-53: SC-7 et SC-8
`compute.disableNestedVirtualization`	Cette contrainte booléenne désactive la virtualisation imbriquée pour tous des VM Compute Engine pour réduire le risque de sécurité lié aux des instances imbriquées. La valeur est `true` pour désactiver la VM imbriquée la virtualisation.	Contrôle NIST SP 800-53 : SC-7 et SC-8
`compute.vmExternalIpAccess`	Cette contrainte de liste définit les instances de VM Compute Engine qui sont autorisés à utiliser des adresses IP externes. Par défaut, toutes les instances de VM sont autorisées pour utiliser des adresses IP externes. La contrainte utilise le format `projects/PROJECT_ID/zones/ZONE/instances/INSTANCE` Vous devez configurer cette valeur lorsque vous adoptez cette de sécurité.	Contrôle NIST SP 800-53: SC-7 et SC-8
`ainotebooks.restrictVpcNetworks`	Cette contrainte de liste définit les réseaux VPC qu'un utilisateur peut lorsque vous créez des instances Vertex AI Workbench est appliquée. Vous devez configurer cette valeur lorsque vous adoptez cette de sécurité.	Contrôle NIST SP 800-53: SC-7 et SC-8
`compute.vmCanIpForward`	Cette contrainte de liste définit les réseaux VPC sélection par l'utilisateur lorsqu'il crée des instances Vertex AI Workbench. Par par défaut, vous pouvez créer une instance Vertex AI Workbench sur le réseau VPC du client. Vous devez configurer cette valeur lorsque vous adoptez cette de sécurité.	Contrôle NIST SP 800-53: SC-7 et SC-8

Détecteurs Security Health Analytics

Le tableau suivant décrit les détecteurs Security Health Analytics inclus dans la stratégie prédéfinie. Pour en savoir plus sur ces détecteurs, consultez Résultats de failles.

Nom du détecteur	Description
`FIREWALL_NOT_MONITORED`	Ce détecteur vérifie si les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications apportées aux règles de pare-feu VPC.
`NETWORK_NOT_MONITORED`	Ce détecteur vérifie si les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications apportées au réseau VPC.
`ROUTE_NOT_MONITORED`	Ce détecteur vérifie si les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications apportées aux routes du réseau VPC.
`DNS_LOGGING_DISABLED`	Ce détecteur vérifie si la journalisation DNS est activée sur le réseau VPC.
`FLOW_LOGS_DISABLED`	Ce détecteur vérifie si les journaux de flux sont activés sur le sous-réseau VPC.
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	Ce détecteur vérifie si la propriété `enableFlowLogs` des sous-réseaux VPC est manquante ou définie sur `false`.

Afficher le modèle de stratégie

Pour afficher le modèle de stratégie pour la mise en réseau VPC étendue, procédez comme suit:

gcloud

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

ORGANIZATION_ID: ID numérique de l'organisation

Exécutez la gcloud scc posture-templates describe commande:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

La réponse contient le modèle de stratégie.

REST

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

ORGANIZATION_ID: ID numérique de l'organisation

Méthode HTTP et URL :

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Remarque : La commande suivante suppose que vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la CLI gcloud. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended"

PowerShell (Windows)

Remarque : La commande suivante suppose que vous vous êtes connecté à la CLI gcloud avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended" | Select-Object -Expand Content

La réponse contient le modèle de stratégie.

Étape suivante

Créez une stratégie de sécurité à l'aide de cette stratégie prédéfinie.