Halaman ini menjelaskan kebijakan preventif dan detektif yang disertakan dalam versi v1.0 postur yang telah ditentukan untuk Kontrol Layanan VPC, yang diperluas. Postur ini mencakup dua set kebijakan:
Serangkaian kebijakan yang mencakup kebijakan organisasi yang berlaku untuk Kontrol Layanan VPC.
Rangkaian kebijakan yang mencakup detektor Security Health Analytics kustom yang berlaku untuk Kontrol Layanan VPC.
Anda dapat menggunakan postur yang telah ditentukan ini untuk mengonfigurasi postur keamanan yang membantu melindungi Kontrol Layanan VPC. Jika ingin men-deploy postur yang telah ditentukan ini, Anda harus menyesuaikan beberapa kebijakan sehingga berlaku untuk lingkungan Anda.
Batasan kebijakan organisasi
Tabel berikut menjelaskan kebijakan organisasi yang disertakan dalam postur ini.
| Kebijakan | Deskripsi | Standar kepatuhan |
|---|---|---|
compute.skipDefaultNetworkCreation |
Kebijakan ini menonaktifkan pembuatan otomatis jaringan VPC default dan aturan firewall default di setiap project baru, yang memastikan bahwa aturan jaringan dan firewall sengaja dibuat. Nilainya adalah |
Kontrol NIST SP 800-53: SC-7 dan SC-8 |
ainotebooks.restrictPublicIp |
Batasan ini membatasi akses IP publik ke instance dan notebook Vertex AI Workbench yang baru dibuat. Secara default, alamat IP publik dapat mengakses notebook dan instance Vertex AI Workbench. Nilainya adalah |
Kontrol NIST SP 800-53: SC-7 dan SC-8 |
compute.disableNestedVirtualization |
Kebijakan ini menonaktifkan virtualisasi bertingkat untuk semua VM Compute Engine guna mengurangi risiko keamanan terkait instance bertingkat yang tidak terpantau. Nilainya adalah |
Kontrol NIST SP 800-53: SC-7 dan SC-8 |
compute.vmExternalIpAccess |
Batasan ini menentukan instance VM Compute Engine yang diizinkan untuk menggunakan alamat IP eksternal. Secara default, semua instance VM diizinkan untuk menggunakan alamat IP eksternal. Batasan menggunakan format Anda harus mengonfigurasi nilai ini saat menggunakan postur yang telah ditentukan ini. |
Kontrol NIST SP 800-53: SC-7 dan SC-8 |
ainotebooks.restrictVpcNetworks |
Daftar ini menentukan jaringan VPC yang dapat dipilih pengguna saat membuat instance Vertex AI Workbench baru tempat batasan ini diterapkan. Anda harus mengonfigurasi nilai ini saat menggunakan postur yang telah ditentukan ini. |
Kontrol NIST SP 800-53: SC-7 dan SC-8 |
compute.vmCanIpForward |
Batasan ini menentukan jaringan VPC yang dapat dipilih pengguna saat membuat instance Vertex AI Workbench baru. Secara default, Anda dapat membuat instance Vertex AI Workbench dengan jaringan VPC apa pun. Anda harus mengonfigurasi nilai ini saat menggunakan postur yang telah ditentukan ini. |
Kontrol NIST SP 800-53: SC-7 dan SC-8 |
Pendeteksi Security Health Analytics
Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam postur yang telah ditentukan. Untuk mengetahui informasi lebih lanjut tentang detektor ini, lihat Temuan kerentanan.
| Nama pendeteksi | Deskripsi |
|---|---|
FIREWALL_NOT_MONITORED |
Pendeteksi ini memeriksa apakah notifikasi dan metrik log tidak dikonfigurasi untuk memantau perubahan aturan firewall VPC. |
NETWORK_NOT_MONITORED |
Pendeteksi ini memeriksa apakah pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan jaringan VPC. |
ROUTE_NOT_MONITORED |
Pendeteksi ini memeriksa apakah pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC. |
DNS_LOGGING_DISABLED |
Detektor ini memeriksa apakah logging DNS diaktifkan di jaringan VPC. |
FLOW_LOGS_DISABLED |
Detektor ini memeriksa apakah log aliran diaktifkan di subnetwork VPC. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Pendeteksi ini memeriksa apakah properti |
Definisi YAML
Berikut adalah definisi YAML untuk postur yang telah ditentukan untuk Kontrol Layanan VPC.
name: organizations/123/locations/global/postureTemplates/vpcsc_extended
description: VPCSC Posture Template
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: VPCSC preventative policy set
description: 6 org policies that new customers can automatically enable.
policies:
- policy_id: Skip default network creation
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.skipDefaultNetworkCreation
policy_rules:
- enforce: true
description: This boolean constraint skips the creation of the default network and related resources during Google Cloud Platform Project resource creation where this constraint is set to True. By default, a default network and supporting resources are automatically created when creating a Project resource.
- policy_id: Restrict public IP access on new Vertex AI Workbench notebooks and instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: ainotebooks.restrictPublicIp
policy_rules:
- enforce: true
description: This boolean constraint, when enforced, restricts public IP access to newly created Vertex AI Workbench notebooks and instances. By default, public IPs can access Vertex AI Workbench notebooks and instances.
- policy_id: Disable VM nested virtualization
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableNestedVirtualization
policy_rules:
- enforce: true
description: This boolean constraint disables hardware-accelerated nested virtualization for all Compute Engine VMs belonging to the organization, project, or folder where this constraint is set to True. By default, hardware-accelerated nested virtualization is allowed for all Compute Engine VMs running on Intel Haswell or newer CPU platforms.
- policy_id: Define allowed external IPs for VM instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.vmExternalIpAccess
policy_rules:
- values:
allowed_values:
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
description: This list constraint defines the set of Compute Engine VM instances that are allowed to use external IP addresses. By default, all VM instances are allowed to use external IP addresses. The allowed/denied list of VM instances must be identified by the VM instance name, in the form of projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
- policy_id: Restrict VPC networks on new Vertex AI Workbench instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: ainotebooks.restrictVpcNetworks
policy_rules:
- values:
allowed_values:
- is:organizations/ORGANIZATION_ID
- is:folders/FOLDER_ID
- is:projects/PROJECT_ID
- is:projects/PROJECT_ID/global/networks/NETWORK_NAME
description: This list constraint defines the VPC networks a user can select when creating new Vertex AI Workbench instances where this constraint is enforced. By default, a Vertex AI Workbench instance can be created with any VPC networks. The allowed or denied list of networks must be identified in the form of under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, or projects/PROJECT_ID/global/networks/NETWORK_NAME.
- policy_id: Restrict VM IP Forwarding
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.vmCanIpForward
policy_rules:
- values:
allowed_values:
- is:organizations/ORGANIZATION_ID
- is:folders/FOLDER_ID
- is:projects/PROJECT_ID
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME.
description: This list constraint defines the set of VM instances that can enable IP forwarding. By default, any VM can enable IP forwarding in any virtual network. VM instances must be specified in the form of under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, or projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. This constraint is not retroactive.
- policy_set_id: VPCSC detective policy set
description: 6 SHA modules that new customers can automatically enable.
policies:
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED
- policy_id: Flow logs settings not recommended
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED