En esta página, se describen las políticas preventivas y de detective que se incluyen en la versión v1.0 de la posición predefinida para los Controles del servicio de VPC, extendida. Esta postura incluye dos conjuntos de políticas:
Un conjunto de políticas que incluye políticas de la organización que se aplican a los Controles del servicio de VPC.
Un conjunto de políticas que incluye detectores personalizados de Security Health Analytics que se aplican a los Controles del servicio de VPC.
Puedes usar esta posición predefinida para configurar una posición de seguridad que ayude a proteger los Controles del servicio de VPC. Si deseas implementar esta posición predefinida, debes personalizar algunas de las políticas para que se apliquen a tu entorno.
Restricciones de las políticas de la organización
En la siguiente tabla, se describen las políticas de la organización que se incluyen en esta postura.
Política | Descripción | Estándar de cumplimiento |
---|---|---|
compute.skipDefaultNetworkCreation |
Esta política inhabilita la creación automática de una red de VPC predeterminada y las reglas de firewall predeterminadas en cada proyecto nuevo, lo que garantiza que las reglas de red y firewall se creen de manera intencional. El valor es |
Control de NIST SP 800-53: SC-7 y SC-8 |
ainotebooks.restrictPublicIp |
Esta restricción restringe el acceso de IP pública a instancias y notebooks de Vertex AI Workbench recién creados. De forma predeterminada, las direcciones IP públicas pueden acceder a instancias y notebooks de Vertex AI Workbench. El valor es |
Control de NIST SP 800-53: SC-7 y SC-8 |
compute.disableNestedVirtualization |
Esta política inhabilita la virtualización anidada para todas las VM de Compute Engine a fin de disminuir el riesgo de seguridad relacionado con las instancias anidadas no supervisadas. El valor es |
Control de NIST SP 800-53: SC-7 y SC-8 |
compute.vmExternalIpAccess |
En esta restricción, se definen las instancias de VM de Compute Engine que pueden usar direcciones IP externas. De forma predeterminada, todas las instancias de VM pueden usar direcciones IP externas. La restricción usa el formato Debes configurar este valor cuando adoptas esta posición predefinida. |
Control de NIST SP 800-53: SC-7 y SC-8 |
ainotebooks.restrictVpcNetworks |
En esta lista, se definen las redes de VPC que un usuario puede seleccionar cuando se crean nuevas instancias de Vertex AI Workbench en las que se aplica esta restricción. Debes configurar este valor cuando adoptas esta posición predefinida. |
Control de NIST SP 800-53: SC-7 y SC-8 |
compute.vmCanIpForward |
Esta restricción define las redes de VPC que un usuario puede seleccionar cuando crea instancias nuevas de Vertex AI Workbench. De forma predeterminada, puedes crear una instancia de Vertex AI Workbench con cualquier red de VPC. Debes configurar este valor cuando adoptas esta posición predefinida. |
Control de NIST SP 800-53: SC-7 y SC-8 |
Detectores de estadísticas de estado de seguridad
En la siguiente tabla, se describen los detectores de Security Health Analytics que se incluyen en la posición predefinida. Para obtener más información sobre estos detectores, consulta Búsquedas de vulnerabilidades.
Nombre del detector | Descripción |
---|---|
FIREWALL_NOT_MONITORED |
Este detector verifica si las métricas de registro y las alertas no están configuradas para supervisar los cambios en las reglas de firewall de VPC. |
NETWORK_NOT_MONITORED |
Este detector verifica si las métricas de registro y las alertas no están configuradas para supervisar los cambios en la red de VPC. |
ROUTE_NOT_MONITORED |
Este detector verifica si las métricas de registro y las alertas no están configuradas para supervisar los cambios en la ruta de la red de VPC. |
DNS_LOGGING_DISABLED |
Este detector verifica si el registro de DNS está habilitado en la red de VPC. |
FLOW_LOGS_DISABLED |
Este detector verifica si los registros de flujo están habilitados en la subred de VPC. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Este detector verifica si falta la propiedad |
Definición de YAML
A continuación, se muestra la definición de YAML para la posición predefinida de los Controles del servicio de VPC.
name: organizations/123/locations/global/postureTemplates/vpcsc_extended
description: VPCSC Posture Template
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: VPCSC preventative policy set
description: 6 org policies that new customers can automatically enable.
policies:
- policy_id: Skip default network creation
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.skipDefaultNetworkCreation
policy_rules:
- enforce: true
description: This boolean constraint skips the creation of the default network and related resources during Google Cloud Platform Project resource creation where this constraint is set to True. By default, a default network and supporting resources are automatically created when creating a Project resource.
- policy_id: Restrict public IP access on new Vertex AI Workbench notebooks and instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: ainotebooks.restrictPublicIp
policy_rules:
- enforce: true
description: This boolean constraint, when enforced, restricts public IP access to newly created Vertex AI Workbench notebooks and instances. By default, public IPs can access Vertex AI Workbench notebooks and instances.
- policy_id: Disable VM nested virtualization
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableNestedVirtualization
policy_rules:
- enforce: true
description: This boolean constraint disables hardware-accelerated nested virtualization for all Compute Engine VMs belonging to the organization, project, or folder where this constraint is set to True. By default, hardware-accelerated nested virtualization is allowed for all Compute Engine VMs running on Intel Haswell or newer CPU platforms.
- policy_id: Define allowed external IPs for VM instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.vmExternalIpAccess
policy_rules:
- values:
allowed_values:
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
description: This list constraint defines the set of Compute Engine VM instances that are allowed to use external IP addresses. By default, all VM instances are allowed to use external IP addresses. The allowed/denied list of VM instances must be identified by the VM instance name, in the form of projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
- policy_id: Restrict VPC networks on new Vertex AI Workbench instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: ainotebooks.restrictVpcNetworks
policy_rules:
- values:
allowed_values:
- is:organizations/ORGANIZATION_ID
- is:folders/FOLDER_ID
- is:projects/PROJECT_ID
- is:projects/PROJECT_ID/global/networks/NETWORK_NAME
description: This list constraint defines the VPC networks a user can select when creating new Vertex AI Workbench instances where this constraint is enforced. By default, a Vertex AI Workbench instance can be created with any VPC networks. The allowed or denied list of networks must be identified in the form of under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, or projects/PROJECT_ID/global/networks/NETWORK_NAME.
- policy_id: Restrict VM IP Forwarding
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.vmCanIpForward
policy_rules:
- values:
allowed_values:
- is:organizations/ORGANIZATION_ID
- is:folders/FOLDER_ID
- is:projects/PROJECT_ID
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME.
description: This list constraint defines the set of VM instances that can enable IP forwarding. By default, any VM can enable IP forwarding in any virtual network. VM instances must be specified in the form of under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, or projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. This constraint is not retroactive.
- policy_set_id: VPCSC detective policy set
description: 6 SHA modules that new customers can automatically enable.
policies:
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED
- policy_id: Flow logs settings not recommended
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED