Diese Seite wurde von der Cloud Translation API übersetzt.

Vordefinierter Sicherheitsstatus für VPC Service Controls, erweitert

Auf dieser Seite werden die Richtlinien für Präventiv- und Erkennungsfunktionen beschrieben, die in Version 1.0 des vordefinierten Sicherheitsstatus für erweiterte VPC Service Controls enthalten sind. Dieser Sicherheitsstatus enthält zwei Richtliniensätze:

Ein Richtliniensatz, der Organisationsrichtlinien enthält, die für VPC Service Controls gelten.
Ein Richtliniensatz, der benutzerdefinierte Security Health Analytics-Detektoren enthält, die für VPC Service Controls gelten.

Mit diesem vordefinierten Sicherheitsstatus können Sie einen Sicherheitsstatus konfigurieren, der VPC Service Controls schützt. Wenn Sie diesen vordefinierten Sicherheitsstatus bereitstellen möchten, müssen Sie einige der Richtlinien so anpassen, dass sie für Ihre Umgebung gelten.

Einschränkungen für Organisationsrichtlinien

In der folgenden Tabelle werden die Organisationsrichtlinien beschrieben, die in diesem Sicherheitsstatus enthalten sind.

Richtlinie	Beschreibung	Compliancestandard
`compute.skipDefaultNetworkCreation`	Diese Richtlinie deaktiviert die automatische Erstellung eines VPC-Netzwerk und von Standardfirewallregeln in jedem neuen Projekt. So wird sichergestellt, dass Netzwerk- und Firewallregeln absichtlich erstellt werden. Der Wert lautet `true`, damit nicht das VPC-Netzwerk erstellt wird.	NIST SP 800-53-Kontrolle: SC-7 und SC-8
`ainotebooks.restrictPublicIp`	Diese Einschränkung beschränkt den Zugriff über öffentliche IP-Adressen auf neu erstellte Vertex AI Workbench-Notebooks und ‐Instanzen. Standardmäßig können öffentliche IP-Adressen auf Vertex AI Workbench-Notebooks und ‐Instanzen zugreifen. Der Wert ist `true`, um den Zugriff über öffentliche IP-Adressen auf neue Vertex AI Workbench-Notebooks und ‐Instanzen zu beschränken.	NIST SP 800-53-Kontrolle: SC-7 und SC-8
`compute.disableNestedVirtualization`	Diese Richtlinie deaktiviert die verschachtelte Virtualisierung für alle Compute Engine-VMs, um das Sicherheitsrisiko für nicht überwachte verschachtelte Instanzen zu verringern. Der Wert ist `true`, um die verschachtelte Virtualisierung der VM zu deaktivieren.	NIST SP 800-53-Kontrolle: SC-7 und SC-8
`compute.vmExternalIpAccess`	Mit dieser Einschränkung werden die Compute Engine-VM-Instanzen definiert, die externe IP-Adressen verwenden dürfen. Standardmäßig können alle VM-Instanzen externe IP-Adressen verwenden. Die Einschränkung verwendet das Format `projects/PROJECT_ID/zones/ZONE/instances/INSTANCE`. Sie müssen diesen Wert konfigurieren, wenn Sie diesen vordefinierten Sicherheitsstatus übernehmen.	NIST SP 800-53-Kontrolle: SC-7 und SC-8
`ainotebooks.restrictVpcNetworks`	In dieser Liste werden die VPC-Netzwerke definiert, die ein Nutzer beim Erstellen neuer Vertex AI Workbench-Instanzen auswählen kann, in denen diese Einschränkung erzwungen wird. Sie müssen diesen Wert konfigurieren, wenn Sie diesen vordefinierten Sicherheitsstatus übernehmen.	NIST SP 800-53-Kontrolle: SC-7 und SC-8
`compute.vmCanIpForward`	Mit dieser Einschränkung werden die VPC-Netzwerke definiert, die ein Nutzer beim Erstellen neuer Vertex AI Workbench-Instanzen auswählen kann. Standardmäßig können Sie eine Vertex AI Workbench-Instanz mit einem beliebigen VPC-Netzwerk erstellen. Sie müssen diesen Wert konfigurieren, wenn Sie diesen vordefinierten Sicherheitsstatus übernehmen.	NIST SP 800-53-Kontrolle: SC-7 und SC-8

Security Health Analytics – Detektoren

In der folgenden Tabelle werden die Detektoren von Security Health Analytics beschrieben, die im vordefinierten Sicherheitsstatus enthalten sind. Weitere Informationen zu diesen Detektoren finden Sie unter Sicherheitslückenergebnisse.

Detektorname	Beschreibung
`FIREWALL_NOT_MONITORED`	Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht zum Überwachen von Änderungen der VPC-Firewallregel konfiguriert sind.
`NETWORK_NOT_MONITORED`	Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht zum Überwachen von VPC-Netzwerkänderungen konfiguriert sind.
`ROUTE_NOT_MONITORED`	Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht zum Überwachen von Änderungen der VPC-Netzwerkroute konfiguriert sind.
`DNS_LOGGING_DISABLED`	Dieser Detektor prüft, ob DNS-Logging im VPC-Netzwerk aktiviert ist.
`FLOW_LOGS_DISABLED`	Dieser Detektor prüft, ob Flusslogs im VPC-Subnetzwerk aktiviert sind.
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	Dieser Detektor prüft, ob das Attribut `enableFlowLogs` von VPC-Subnetzwerken fehlt oder auf `false` gesetzt ist.

YAML-Definition

Im Folgenden finden Sie die YAML-Definition für den vordefinierten Status für VPC Service Controls.

name: organizations/123/locations/global/postureTemplates/vpcsc_extended
description: VPCSC Posture Template
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: VPCSC preventative policy set
  description: 6 org policies that new customers can automatically enable.
  policies:
  - policy_id: Skip default network creation
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.skipDefaultNetworkCreation
        policy_rules:
        - enforce: true
    description: This boolean constraint skips the creation of the default network and related resources during Google Cloud Platform Project resource creation where this constraint is set to True. By default, a default network and supporting resources are automatically created when creating a Project resource.
  - policy_id: Restrict public IP access on new Vertex AI Workbench notebooks and instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: ainotebooks.restrictPublicIp
        policy_rules:
        - enforce: true
    description: This boolean constraint, when enforced, restricts public IP access to newly created Vertex AI Workbench notebooks and instances. By default, public IPs can access Vertex AI Workbench notebooks and instances.
  - policy_id: Disable VM nested virtualization
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableNestedVirtualization
        policy_rules:
        - enforce: true
    description: This boolean constraint disables hardware-accelerated nested virtualization for all Compute Engine VMs belonging to the organization, project, or folder where this constraint is set to True. By default, hardware-accelerated nested virtualization is allowed for all Compute Engine VMs running on Intel Haswell or newer CPU platforms.
  - policy_id: Define allowed external IPs for VM instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.vmExternalIpAccess
        policy_rules:
        - values:
            allowed_values:
            - is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
    description: This list constraint defines the set of Compute Engine VM instances that are allowed to use external IP addresses. By default, all VM instances are allowed to use external IP addresses. The allowed/denied list of VM instances must be identified by the VM instance name, in the form of projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
  - policy_id: Restrict VPC networks on new Vertex AI Workbench instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: ainotebooks.restrictVpcNetworks
        policy_rules:
        - values:
            allowed_values:
            - is:organizations/ORGANIZATION_ID
            - is:folders/FOLDER_ID
            - is:projects/PROJECT_ID
            - is:projects/PROJECT_ID/global/networks/NETWORK_NAME
    description: This list constraint defines the VPC networks a user can select when creating new Vertex AI Workbench instances where this constraint is enforced. By default, a Vertex AI Workbench instance can be created with any VPC networks. The allowed or denied list of networks must be identified in the form of under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, or projects/PROJECT_ID/global/networks/NETWORK_NAME.
  - policy_id: Restrict VM IP Forwarding
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.vmCanIpForward
        policy_rules:
        - values:
            allowed_values:
            - is:organizations/ORGANIZATION_ID
            - is:folders/FOLDER_ID
            - is:projects/PROJECT_ID
            - is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME.
    description: This list constraint defines the set of VM instances that can enable IP forwarding. By default, any VM can enable IP forwarding in any virtual network. VM instances must be specified in the form of under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, or projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. This constraint is not retroactive.
- policy_set_id: VPCSC detective policy set
  description: 6 SHA modules that new customers can automatically enable.
  policies:
  - policy_id: Firewall not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: FIREWALL_NOT_MONITORED
  - policy_id: Network not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: NETWORK_NOT_MONITORED
  - policy_id: Route not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ROUTE_NOT_MONITORED
  - policy_id: DNS logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DNS_LOGGING_DISABLED
  - policy_id: Flow logs disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: FLOW_LOGS_DISABLED
  - policy_id: Flow logs settings not recommended
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Nächste Schritte

Erstellen Sie mit diesem vordefinierten Status einen Sicherheitsstatus.