Postura predefinida para rede VPC, estendida

Esta página descreve as políticas preventivas e de detecção incluídas no a versão v.1.0 da postura predefinida para a nuvem privada virtual (VPC) rede, estendida. Essa postura inclui dois conjuntos de políticas:

  • Um conjunto de políticas que inclui restrições de políticas da organização que se aplicam redes VPC.

  • Um conjunto de políticas que inclui detectores da Análise de integridade da segurança aplicáveis a redes VPC.

É possível usar essa postura predefinida para configurar uma postura de segurança que ajude proteger redes VPC. Se você quiser implantar esse modelo é necessário personalizar algumas das políticas para que elas se apliquem aos seus de nuvem.

Restrições da política da organização

A tabela a seguir descreve as restrições das políticas da organização incluídos nessa postura.

Política Descrição Padrão de conformidade
compute.skipDefaultNetworkCreation

Esta restrição booleana desativa a criação automática de um valor rede VPC e as regras de firewall padrão em cada novo projeto, garantindo que e regras de firewall são criadas intencionalmente.

O valor é true para evitar a criação da rede VPC padrão.

 Controle do NIST SP 800-53: SC-7 e SC-8
ainotebooks.restrictPublicIp

Esta restrição booleana limita o acesso de IP público a usuários recém-criados Notebooks e instâncias do Vertex AI Workbench. Por padrão, os IPs públicos podem acessar os notebooks e as instâncias do Vertex AI Workbench.

O valor é true para restringir o acesso de IP público nos novos Notebooks e instâncias do Vertex AI Workbench.

 Controle do NIST SP 800-53: SC-7 e SC-8
compute.disableNestedVirtualization

Esta restrição booleana desativa a virtualização aninhada para todos VMs do Compute Engine para diminuir o risco de segurança relacionado a instâncias aninhadas.

O valor é true para desativar a VM aninhada. virtualização.

 Controle do NIST SP 800-53: SC-7 e SC-8
compute.vmExternalIpAccess

Esta restrição de lista define as instâncias de VM do Compute Engine podem usar endereços IP externo. Por padrão, todas as instâncias de VM são permitidas para usar endereços IP externo. A restrição usa o formato projects/PROJECT_ID/zones/ZONE/instances/INSTANCE:

É necessário configurar esse valor ao adotar essa de uma postura avançada de segurança na nuvem.

 Controle do NIST SP 800-53: SC-7 e SC-8
ainotebooks.restrictVpcNetworks

Esta restrição de lista define as redes VPC que um usuário pode selecione ao criar novas instâncias do Vertex AI Workbench em que uma restrição seja aplicada.

É necessário configurar esse valor ao adotar essa de uma postura avançada de segurança na nuvem.

 Controle do NIST SP 800-53: SC-7 e SC-8
compute.vmCanIpForward

Essa restrição de lista define as redes VPC que um pelo usuário ao criar novas instâncias do Vertex AI Workbench. De padrão, é possível criar uma instância do Vertex AI Workbench com rede VPC do produtor de serviços.

É necessário configurar esse valor ao adotar essa de uma postura avançada de segurança na nuvem.

 Controle do NIST SP 800-53: SC-7 e SC-8

Detectores do Security Health Analytics

A tabela a seguir descreve os detectores da Análise de integridade da segurança incluídos em a postura predefinida. Para mais informações sobre esses detectores, consulte Descobertas de vulnerabilidades.

Nome do detector Descrição
FIREWALL_NOT_MONITORED

Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as alterações nas regras de firewall da VPC.
NETWORK_NOT_MONITORED

Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar alterações de rede VPC.
ROUTE_NOT_MONITORED

Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as alterações na rota da rede VPC.
DNS_LOGGING_DISABLED

Este detector verifica se a geração de registros de DNS está ativada na rede VPC.
FLOW_LOGS_DISABLED

Este detector verifica se os registros de fluxo estão ativados na sub-rede VPC.
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Este detector verifica se a propriedade enableFlowLogs das sub-redes VPC está ausente ou definida como false.

Conferir o modelo de postura

Para conferir o modelo de postura da rede VPC, estendido, faça o seguinte:

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORGANIZATION_ID: o ID numérico da organização

Execute o gcloud scc posture-templates describe comando:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

A resposta contém o modelo de postura.

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL: 

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Para enviar a solicitação, expanda uma destas opções:

A resposta contém o modelo de postura.

A seguir