VPC 네트워킹의 사전 정의된 상황, 확장 요소

이 페이지에서는 Virtual Private Cloud(VPC) 네트워킹을 위한 사전 정의된 상황(확장 요소)의 v.1.0 버전에 포함된 예방 및 감지 정책에 대해 설명합니다. 이 상황에는 두 가지 정책 집합이 포함됩니다.

  • VPC 네트워킹에 적용되는 조직 정책 제약조건을 포함하는 정책 집합

  • VPC 네트워킹에 적용되는 Security Health Analytics 감지기를 포함하는 정책 집합

이 사전 정의된 상황을 사용해서 VPC 네트워킹 보호에 도움이 되는 보안 상황을 구성할 수 있습니다. 이 사전 정의된 상황을 배포하려면 환경에 적용되도록 일부 정책을 맞춤설정해야 합니다.

조직 정책 제약조건

다음 표에서는 이 상황에 포함된 조직 정책 제약조건을 설명합니다.

정책 설명 규정 준수 표준
compute.skipDefaultNetworkCreation

이 불리언 제약 조건은 각각의 새로운 프로젝트에서 기본 VPC 네트워크 및 기존 방화벽 규칙이 자동으로 생성되지 않도록 방지하여 네트워크 및 방화벽 규칙이 의도한 대로 생성될 수 있도록 보장합니다.

값은 true이며 기본 VPC 네트워크가 생성되지 않도록 방지합니다.

 NIST SP 800-53 제어: SC-7 및 SC-8
ainotebooks.restrictPublicIp

이 불리언 제약 조건은 새로 만든 Vertex AI Workbench 노트북 및 인스턴스에 대한 공개 IP 액세스를 제한합니다. 기본적으로 공개 IP 주소는 Vertex AI Workbench 노트북 및 인스턴스에 액세스할 수 있습니다.

값은 true이며 새로운 Vertex AI Workbench 노트북 및 인스턴스에서 공개 IP 주소를 제한합니다.

 NIST SP 800-53 제어: SC-7 및 SC-8
compute.disableNestedVirtualization

이 불리언 제약 조건은 모니터링되지 않은 중첩된 인스턴스와 관련된 보안 위험을 줄이기 위해 모든 Compute Engine VM에 대해 중첩된 가상화를 사용 중지합니다.

값은 true이며 VM 중첩된 가상화를 사용 중지합니다.

 NIST SP 800-53 제어: SC-7 및 SC-8
compute.vmExternalIpAccess

이 목록 제약 조건은 외부 IP 주소를 사용하도록 허용되는 Compute Engine VM 인스턴스를 정의합니다. 기본적으로 모든 VM 인스턴스에서 외부 IP 주소를 사용할 수 있습니다. 이 제약 조건에는 projects/PROJECT_ID/zones/ZONE/instances/INSTANCE 형식이 사용됩니다.

이 사전 정의된 상황을 채택할 때 이 값을 구성해야 합니다.

 NIST SP 800-53 제어: SC-7 및 SC-8
ainotebooks.restrictVpcNetworks

이 목록 제약조건은 해당 제약조건이 적용되는 새 Vertex AI Workbench 인스턴스를 만들 때 사용자가 선택할 수 있는 VPC 네트워크를 정의합니다.

이 사전 정의된 상황을 채택할 때 이 값을 구성해야 합니다.

 NIST SP 800-53 제어: SC-7 및 SC-8
compute.vmCanIpForward

이 목록 제약 조건은 사용자가 새 Vertex AI Workbench 인스턴스를 만들 때 선택할 수 있는 VPC 네트워크를 정의합니다. 기본적으로 VPC 네트워크에 Vertex AI Workbench 인스턴스를 만들 수 있습니다.

이 사전 정의된 상황을 채택할 때 이 값을 구성해야 합니다.

 NIST SP 800-53 제어: SC-7 및 SC-8

Security Health Analytics 감지기

다음 표에서는 사전 정의된 상황에 포함된 Security Health Analytics 감지기에 대해 설명합니다. 이러한 감지기에 대한 자세한 내용은 취약점 발견 항목을 참조하세요.

검사 프로그램 이름 설명
FIREWALL_NOT_MONITORED

이 감지기는 로그 측정항목 및 알림이 VPC 방화벽 규칙 변경사항을 모니터링하도록 구성되지 않았는지 확인합니다.
NETWORK_NOT_MONITORED

이 감지기는 로그 측정항목 및 알림이 VPC 네트워크 변경사항을 모니터링하도록 구성되지 않았는지 확인합니다.
ROUTE_NOT_MONITORED

이 감지기는 로그 측정항목 및 알림이 VPC 네트워크 경로 변경사항을 모니터링하도록 구성되지 않았는지 확인합니다.
DNS_LOGGING_DISABLED

이 감지기는 VPC 네트워크에서 DNS 로깅이 사용 설정되었는지 확인합니다.
FLOW_LOGS_DISABLED

이 감지기는 VPC 서브네트워크에서 흐름 로그가 사용 설정되었는지 확인합니다.
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

이 감지기는 VPC 서브네트워크의 enableFlowLogs 속성이 누락되었거나 false로 설정되었는지 확인합니다.

상황 템플릿 보기

VPC 네트워킹(확장)의 상황 템플릿을 보려면 다음 단계를 따르세요.

gcloud

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • ORGANIZATION_ID: 조직의 숫자 ID

gcloud scc posture-templates describe 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows(PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows(cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

응답에 상황 템플릿이 포함됩니다.

REST

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • ORGANIZATION_ID: 조직의 숫자 ID

HTTP 메서드 및 URL: 

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

응답에 상황 템플릿이 포함됩니다.

다음 단계