このページでは、VPC Service Controls の事前定義された対策の v1.0 バージョンに含まれる予防的ポリシーと検出ポリシーの拡張事項について説明します。この対策には、次の 2 つのポリシーセットが含まれています。
VPC Service Controls に適用される組織のポリシーを含むポリシーセット。
VPC Service Controls に適用されるカスタム Security Health Analytics 検出機能を含むポリシーセット。
この事前定義された対策を使用して、VPC Service Controls の保護に役立つセキュリティ対策を構成できます。この事前定義された対策をデプロイする場合は、環境に適用されるようにポリシーの一部をカスタマイズする必要があります。
組織ポリシーの制約
次の表は、この対策に含まれる組織のポリシーを示しています。
ポリシー | 説明 | コンプライアンスの標準 |
---|---|---|
compute.skipDefaultNetworkCreation |
このポリシーにより、新しい各プロジェクトでのデフォルトの VPC ネットワークとデフォルトのファイアウォール ルールの自動作成が無効になり、ネットワークとファイアウォールのルールが意図したとおりに作成されます。 値は、デフォルトの VPC ネットワークが作成されないように |
NIST SP 800-53 コントロール: SC-7 および SC-8 |
ainotebooks.restrictPublicIp |
この制約では、新しく作成された Vertex AI Workbench のノートブックとインスタンスへのパブリック IP アクセスが制限されます。デフォルトでは、パブリック IP アドレスから Vertex AI Workbench のノートブックとインスタンスにアクセスできます。 値は |
NIST SP 800-53 コントロール: SC-7 および SC-8 |
compute.disableNestedVirtualization |
このポリシーは、すべての Compute Engine VM でネストされた仮想化を無効にして、モニタリングされていないネストされたインスタンスに関連するセキュリティ リスクを軽減します。 VM のネストされた仮想化をオフにする場合、値は |
NIST SP 800-53 コントロール: SC-7 および SC-8 |
compute.vmExternalIpAccess |
この制約は、外部 IP アドレスの使用が許可されている Compute Engine VM インスタンスを定義します。デフォルトでは、すべての VM インスタンスで外部 IP アドレスの使用が許可されます。制約の形式は この事前定義された対策を採用する場合は、この値を構成する必要があります。 |
NIST SP 800-53 コントロール: SC-7 および SC-8 |
ainotebooks.restrictVpcNetworks |
このリストでは、この制約が適用される新しい Vertex AI Workbench インスタンスの作成時にユーザーが選択できる VPC ネットワークを定義します。 この事前定義された対策を採用する場合は、この値を構成する必要があります。 |
NIST SP 800-53 コントロール: SC-7 および SC-8 |
compute.vmCanIpForward |
この制約により、新しい Vertex AI Workbench インスタンスの作成時にユーザーが選択できる VPC ネットワークが定義されます。デフォルトでは、任意の VPC ネットワークで Vertex AI Workbench インスタンスを作成できます。 この事前定義された対策を採用する場合は、この値を構成する必要があります。 |
NIST SP 800-53 コントロール: SC-7 および SC-8 |
Security Health Analytics の検出機能
次の表に、事前定義された対策に含まれる Security Health Analytics 検出機能を示します。これらの検出機能の詳細については、脆弱性の検出結果をご覧ください。
検出項目の名前 | 説明 |
---|---|
FIREWALL_NOT_MONITORED |
この検出機能は、ログ指標とアラートが VPC ファイアウォール ルールの変更をモニタリングするように構成されていないかどうかを確認します。 |
NETWORK_NOT_MONITORED |
この検出機能は、ログ指標とアラートが VPC ネットワークの変更をモニタリングするように構成されていないかどうかを確認します。 |
ROUTE_NOT_MONITORED |
この検出機能は、ログ指標とアラートが VPC ネットワーク ルートの変更をモニタリングするように構成されていないかどうかを確認します。 |
DNS_LOGGING_DISABLED |
この検出機能は、VPC ネットワークで DNS ロギングが有効になっているかどうかを確認します。 |
FLOW_LOGS_DISABLED |
この検出機能は、VPC サブネットワークでフローログが有効になっているかどうかを確認します。 |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
この検出機能は、VPC サブネットワークの |
YAML の定義
VPC Service Controls の事前定義された対策の YAML 定義は次のとおりです。
name: organizations/123/locations/global/postureTemplates/vpcsc_extended
description: VPCSC Posture Template
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: VPCSC preventative policy set
description: 6 org policies that new customers can automatically enable.
policies:
- policy_id: Skip default network creation
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.skipDefaultNetworkCreation
policy_rules:
- enforce: true
description: This boolean constraint skips the creation of the default network and related resources during Google Cloud Platform Project resource creation where this constraint is set to True. By default, a default network and supporting resources are automatically created when creating a Project resource.
- policy_id: Restrict public IP access on new Vertex AI Workbench notebooks and instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: ainotebooks.restrictPublicIp
policy_rules:
- enforce: true
description: This boolean constraint, when enforced, restricts public IP access to newly created Vertex AI Workbench notebooks and instances. By default, public IPs can access Vertex AI Workbench notebooks and instances.
- policy_id: Disable VM nested virtualization
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableNestedVirtualization
policy_rules:
- enforce: true
description: This boolean constraint disables hardware-accelerated nested virtualization for all Compute Engine VMs belonging to the organization, project, or folder where this constraint is set to True. By default, hardware-accelerated nested virtualization is allowed for all Compute Engine VMs running on Intel Haswell or newer CPU platforms.
- policy_id: Define allowed external IPs for VM instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.vmExternalIpAccess
policy_rules:
- values:
allowed_values:
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
description: This list constraint defines the set of Compute Engine VM instances that are allowed to use external IP addresses. By default, all VM instances are allowed to use external IP addresses. The allowed/denied list of VM instances must be identified by the VM instance name, in the form of projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
- policy_id: Restrict VPC networks on new Vertex AI Workbench instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: ainotebooks.restrictVpcNetworks
policy_rules:
- values:
allowed_values:
- is:organizations/ORGANIZATION_ID
- is:folders/FOLDER_ID
- is:projects/PROJECT_ID
- is:projects/PROJECT_ID/global/networks/NETWORK_NAME
description: This list constraint defines the VPC networks a user can select when creating new Vertex AI Workbench instances where this constraint is enforced. By default, a Vertex AI Workbench instance can be created with any VPC networks. The allowed or denied list of networks must be identified in the form of under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, or projects/PROJECT_ID/global/networks/NETWORK_NAME.
- policy_id: Restrict VM IP Forwarding
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.vmCanIpForward
policy_rules:
- values:
allowed_values:
- is:organizations/ORGANIZATION_ID
- is:folders/FOLDER_ID
- is:projects/PROJECT_ID
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME.
description: This list constraint defines the set of VM instances that can enable IP forwarding. By default, any VM can enable IP forwarding in any virtual network. VM instances must be specified in the form of under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, or projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. This constraint is not retroactive.
- policy_set_id: VPCSC detective policy set
description: 6 SHA modules that new customers can automatically enable.
policies:
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED
- policy_id: Flow logs settings not recommended
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED