Postura predefinita per il networking VPC, estesa

Questa pagina descrive i criteri di prevenzione e rilevamento inclusi nella versione 1.0 della postura predefinita per il networking Virtual Private Cloud (VPC), estesa. Questa postura include due set di criteri:

  • Un set di criteri che include i vincoli dei criteri dell'organizzazione che si applicano a networking VPC.

  • Un insieme di criteri che include i rilevatori di Security Health Analytics che si applicano alla rete VPC.

Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che aiuti per proteggere il networking VPC. Se vuoi implementare questa configurazione predefinita, devi personalizzare alcuni criteri in modo che si applichino al tuo ambiente.

Vincoli dei criteri dell'organizzazione

La tabella seguente descrive i vincoli dei criteri dell'organizzazione inclusi in questa posizione.

Norme Descrizione Standard di conformità
compute.skipDefaultNetworkCreation

Questo vincolo booleano disabilita la creazione automatica di un la rete VPC e le regole firewall predefinite in ogni nuovo progetto, assicurando che le regole firewall e di rete vengono create intenzionalmente.

Il valore è true per evitare la creazione della rete VPC predefinita.

 Controllo NIST SP 800-53: SC-7 e SC-8
ainotebooks.restrictPublicIp

Questo vincolo booleano limita l'accesso degli IP pubblici a istanze e blocchi note di Vertex AI Workbench appena creati. Per impostazione predefinita, l'IP pubblico possono accedere a istanze e blocchi note di Vertex AI Workbench.

Il valore è true per limitare l'accesso all'IP pubblico sulle nuove istanze e sui nuovi blocchi note di Vertex AI Workbench.

 Controllo NIST SP 800-53: SC-7 e SC-8
compute.disableNestedVirtualization

Questo vincolo booleano disattiva la virtualizzazione nidificata per tutte le VM Compute Engine per ridurre il rischio alla sicurezza correlato alle istanze nidificate non monitorate.

Il valore è true per disattivare la virtualizzazione nidificata della VM.

 Controllo NIST SP 800-53: SC-7 e SC-8
compute.vmExternalIpAccess

Questo vincolo dell'elenco definisce le istanze VM di Compute Engine che autorizzati a utilizzare indirizzi IP esterni. Per impostazione predefinita, sono consentite tutte le istanze VM per utilizzare indirizzi IP esterni. Il vincolo utilizza il formato projects/PROJECT_ID/zones/ZONE/instances/INSTANCE.

Devi configurare questo valore quando adotti questo valore postura.

 Controllo NIST SP 800-53: SC-7 e SC-8
ainotebooks.restrictVpcNetworks

Questo vincolo dell'elenco definisce le reti VPC che l'utente può selezionare quando crea nuove istanze Vertex AI Workbench in cui questo vincolo è applicato.

Devi configurare questo valore quando adotti questo valore postura.

 Controllo NIST SP 800-53: SC-7 e SC-8
compute.vmCanIpForward

Questo vincolo dell'elenco definisce le reti VPC che che l'utente può selezionare durante la creazione di nuove istanze di Vertex AI Workbench. Di per impostazione predefinita, puoi creare un'istanza di Vertex AI Workbench con rete VPC.

Devi configurare questo valore quando adotti questa postura predefinita.

 Controllo NIST SP 800-53: SC-7 e SC-8

Rilevamento di Security Health Analytics

La tabella seguente descrive i rilevatori di Security Health Analytics inclusi in la postura predefinita. Per ulteriori informazioni su questi rilevatori, vedi Vulnerabilità rilevate.

Nome rilevatore Descrizione
FIREWALL_NOT_MONITORED

Questo rilevatore controlla se le metriche dei log e gli avvisi non sono configurati per monitorare le modifiche alle regole del firewall VPC.
NETWORK_NOT_MONITORED

Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC.
ROUTE_NOT_MONITORED

Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC.
DNS_LOGGING_DISABLED

Questo rilevatore controlla se il logging DNS è abilitato sulla rete VPC.
FLOW_LOGS_DISABLED

Questo rilevatore controlla se i log di flusso sono abilitati nella sottorete VPC.
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Questo rilevatore controlla se la proprietà enableFlowLogs delle subnet VPC è mancante o impostata su false.

Visualizza il modello di postura

Per visualizzare il modello di postura per il networking VPC esteso, segui questi passaggi:

gcloud

Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione

Esegui il comando gcloud scc posture-templates describe :

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

La risposta contiene il modello di postura.

REST

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

  • ORGANIZATION_ID: l'ID numerico dell'organizzazione

Metodo HTTP e URL: 

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Per inviare la richiesta, espandi una delle seguenti opzioni:

La risposta contiene il modello di postura.

Passaggi successivi