Posição predefinida do VPC Service Controls estendida

Nesta página, descrevemos as políticas preventivas e de detetive incluídas na versão v1.0 da postura predefinida do VPC Service Controls. Essa postura inclui dois conjuntos de políticas:

  • Um conjunto de políticas que inclui políticas da organização que se aplicam ao VPC Service Controls.

  • Um conjunto de políticas que inclui detectores personalizados da Análise de integridade da segurança que se aplicam ao VPC Service Controls.

É possível usar essa postura predefinida para configurar uma postura de segurança que ajude a proteger o VPC Service Controls. Se você quiser implantar essa postura predefinida, personalize algumas das políticas para que se apliquem ao seu ambiente.

Restrições das políticas da organização

A tabela a seguir descreve as políticas da organização incluídas nessa postura.

Política Descrição Padrão de conformidade
compute.skipDefaultNetworkCreation

Essa política desativa a criação automática de uma rede VPC padrão e regras de firewall padrão em cada novo projeto, garantindo que as regras de rede e de firewall sejam criadas intencionalmente.

O valor é true para evitar a criação da rede VPC padrão.

 Controle do NIST SP 800-53: SC-7 e SC-8
ainotebooks.restrictPublicIp

Essa restrição restringe o acesso de IP público a notebooks e instâncias recém-criados do Vertex AI Workbench. Por padrão, os endereços IP públicos podem acessar notebooks e instâncias do Vertex AI Workbench.

O valor é true para restringir o acesso de IP público em novos notebooks e instâncias do Vertex AI Workbench.

 Controle do NIST SP 800-53: SC-7 e SC-8
compute.disableNestedVirtualization

Ela desativa a virtualização aninhada em todas as VMs do Compute Engine para diminuir o risco de segurança relacionado a instâncias aninhadas não monitoradas.

O valor é true para desativar a virtualização aninhada da VM.

 Controle do NIST SP 800-53: SC-7 e SC-8
compute.vmExternalIpAccess

Essa restrição define as instâncias de VM do Compute Engine que podem usar endereços IP externo. Por padrão, todas as instâncias de VM podem usar endereços IP externos. A restrição usa o formato projects/PROJECT_ID/zones/ZONE/instances/INSTANCE.

É preciso configurar esse valor ao adotar essa postura predefinida.

 Controle do NIST SP 800-53: SC-7 e SC-8
ainotebooks.restrictVpcNetworks

Esta lista define as redes VPC que um usuário pode selecionar ao criar novas instâncias do Vertex AI Workbench em que essa restrição é aplicada.

É preciso configurar esse valor ao adotar essa postura predefinida.

 Controle do NIST SP 800-53: SC-7 e SC-8
compute.vmCanIpForward

Essa restrição define as redes VPC que um usuário pode selecionar ao criar novas instâncias do Vertex AI Workbench. Por padrão, é possível criar uma instância do Vertex AI Workbench com qualquer rede VPC.

É preciso configurar esse valor ao adotar essa postura predefinida.

 Controle do NIST SP 800-53: SC-7 e SC-8

Detectores do Security Health Analytics

A tabela a seguir descreve os detectores da Análise de integridade da segurança que estão incluídos na postura predefinida. Para mais informações sobre esses detectores, consulte Descobertas de vulnerabilidade.

Nome do detector Descrição
FIREWALL_NOT_MONITORED

Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar alterações nas regras de firewall da VPC.
NETWORK_NOT_MONITORED

Esse detector verifica se as métricas de registro e os alertas não estão configurados para monitorar alterações na rede VPC.
ROUTE_NOT_MONITORED

Este detector verifica se as métricas de registro e os alertas não estão configurados para monitorar alterações nas rotas da rede VPC.
DNS_LOGGING_DISABLED

Esse detector verifica se a geração de registros de DNS está ativada na rede VPC.
FLOW_LOGS_DISABLED

Este detector verifica se os registros de fluxo estão ativados na sub-rede VPC.
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Esse detector verifica se a propriedade enableFlowLogs das sub-redes VPC está ausente ou definida como false.

Definição de YAML

Esta é a definição YAML para a postura predefinida do VPC Service Controls.

name: organizations/123/locations/global/postureTemplates/vpcsc_extended
description: VPCSC Posture Template
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: VPCSC preventative policy set
  description: 6 org policies that new customers can automatically enable.
  policies:
  - policy_id: Skip default network creation
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.skipDefaultNetworkCreation
        policy_rules:
        - enforce: true
    description: This boolean constraint skips the creation of the default network and related resources during Google Cloud Platform Project resource creation where this constraint is set to True. By default, a default network and supporting resources are automatically created when creating a Project resource.
  - policy_id: Restrict public IP access on new Vertex AI Workbench notebooks and instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: ainotebooks.restrictPublicIp
        policy_rules:
        - enforce: true
    description: This boolean constraint, when enforced, restricts public IP access to newly created Vertex AI Workbench notebooks and instances. By default, public IPs can access Vertex AI Workbench notebooks and instances.
  - policy_id: Disable VM nested virtualization
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableNestedVirtualization
        policy_rules:
        - enforce: true
    description: This boolean constraint disables hardware-accelerated nested virtualization for all Compute Engine VMs belonging to the organization, project, or folder where this constraint is set to True. By default, hardware-accelerated nested virtualization is allowed for all Compute Engine VMs running on Intel Haswell or newer CPU platforms.
  - policy_id: Define allowed external IPs for VM instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.vmExternalIpAccess
        policy_rules:
        - values:
            allowed_values:
            - is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
    description: This list constraint defines the set of Compute Engine VM instances that are allowed to use external IP addresses. By default, all VM instances are allowed to use external IP addresses. The allowed/denied list of VM instances must be identified by the VM instance name, in the form of projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
  - policy_id: Restrict VPC networks on new Vertex AI Workbench instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: ainotebooks.restrictVpcNetworks
        policy_rules:
        - values:
            allowed_values:
            - is:organizations/ORGANIZATION_ID
            - is:folders/FOLDER_ID
            - is:projects/PROJECT_ID
            - is:projects/PROJECT_ID/global/networks/NETWORK_NAME
    description: This list constraint defines the VPC networks a user can select when creating new Vertex AI Workbench instances where this constraint is enforced. By default, a Vertex AI Workbench instance can be created with any VPC networks. The allowed or denied list of networks must be identified in the form of under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, or projects/PROJECT_ID/global/networks/NETWORK_NAME.
  - policy_id: Restrict VM IP Forwarding
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.vmCanIpForward
        policy_rules:
        - values:
            allowed_values:
            - is:organizations/ORGANIZATION_ID
            - is:folders/FOLDER_ID
            - is:projects/PROJECT_ID
            - is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME.
    description: This list constraint defines the set of VM instances that can enable IP forwarding. By default, any VM can enable IP forwarding in any virtual network. VM instances must be specified in the form of under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, or projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. This constraint is not retroactive.
- policy_set_id: VPCSC detective policy set
  description: 6 SHA modules that new customers can automatically enable.
  policies:
  - policy_id: Firewall not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: FIREWALL_NOT_MONITORED
  - policy_id: Network not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: NETWORK_NOT_MONITORED
  - policy_id: Route not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ROUTE_NOT_MONITORED
  - policy_id: DNS logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DNS_LOGGING_DISABLED
  - policy_id: Flow logs disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: FLOW_LOGS_DISABLED
  - policy_id: Flow logs settings not recommended
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

A seguir