Cette page décrit les règles de prévention et de détection incluses dans la version v1.0 de la stratégie prédéfinie étendue de VPC Service Controls. Cette stratégie comprend deux ensembles de règles:
Un ensemble de règles qui inclut les règles d'administration qui s'appliquent à VPC Service Controls.
Un ensemble de règles qui inclut des détecteurs personnalisés Security Health Analytics qui s'appliquent à VPC Service Controls.
Vous pouvez utiliser cette stratégie prédéfinie pour configurer une stratégie de sécurité qui contribue à protéger VPC Service Controls. Si vous souhaitez déployer cette stratégie prédéfinie, vous devez personnaliser certaines règles afin qu'elles s'appliquent à votre environnement.
Contraintes liées aux règles d'administration
Le tableau suivant décrit les règles d'administration incluses dans cette stratégie.
| Règle | Description | Norme de conformité |
|---|---|---|
compute.skipDefaultNetworkCreation |
Cette règle désactive la création automatique d'un réseau VPC par défaut et de règles de pare-feu par défaut dans chaque nouveau projet, garantissant ainsi que les règles de réseau et de pare-feu sont créées intentionnellement. La valeur est |
Contrôle NIST SP 800-53: SC-7 et SC-8 |
ainotebooks.restrictPublicIp |
Cette contrainte limite l'accès des adresses IP publiques aux instances et notebooks Vertex AI Workbench nouvellement créés. Par défaut, les adresses IP publiques peuvent accéder aux notebooks et aux instances Vertex AI Workbench. La valeur est |
Contrôle NIST SP 800-53: SC-7 et SC-8 |
compute.disableNestedVirtualization |
Cette règle désactive la virtualisation imbriquée pour toutes les VM Compute Engine afin de réduire le risque de sécurité lié aux instances imbriquées non surveillées. La valeur est |
Contrôle NIST SP 800-53: SC-7 et SC-8 |
compute.vmExternalIpAccess |
Cette contrainte définit les instances de VM Compute Engine autorisées à utiliser des adresses IP externes. Par défaut, toutes les instances de machines virtuelles sont autorisées à utiliser des adresses IP externes. La contrainte utilise le format Vous devez configurer cette valeur lorsque vous adoptez cette stratégie prédéfinie. |
Contrôle NIST SP 800-53: SC-7 et SC-8 |
ainotebooks.restrictVpcNetworks |
Cette liste définit les réseaux VPC qu'un utilisateur peut sélectionner lors de la création d'instances Vertex AI Workbench dans lesquelles cette contrainte est appliquée. Vous devez configurer cette valeur lorsque vous adoptez cette stratégie prédéfinie. |
Contrôle NIST SP 800-53: SC-7 et SC-8 |
compute.vmCanIpForward |
Cette contrainte définit les réseaux VPC qu'un utilisateur peut sélectionner lorsqu'il crée des instances Vertex AI Workbench. Par défaut, vous pouvez créer une instance Vertex AI Workbench avec n'importe quel réseau VPC. Vous devez configurer cette valeur lorsque vous adoptez cette stratégie prédéfinie. |
Contrôle NIST SP 800-53: SC-7 et SC-8 |
Détecteurs Security Health Analytics
Le tableau suivant décrit les détecteurs Security Health Analytics inclus dans la stratégie prédéfinie. Pour en savoir plus sur ces détecteurs, consultez la section Résultats de failles.
| Nom du détecteur | Description |
|---|---|
FIREWALL_NOT_MONITORED |
Ce détecteur vérifie si les alertes et les métriques de journaux ne sont pas configurées pour surveiller les modifications apportées aux règles de pare-feu VPC. |
NETWORK_NOT_MONITORED |
Ce détecteur vérifie si les alertes et les métriques de journaux ne sont pas configurées pour surveiller les modifications apportées au réseau VPC. |
ROUTE_NOT_MONITORED |
Ce détecteur vérifie si les alertes et les métriques de journal ne sont pas configurées pour surveiller les modifications apportées aux routes du réseau VPC. |
DNS_LOGGING_DISABLED |
Ce détecteur vérifie si la journalisation DNS est activée sur le réseau VPC. |
FLOW_LOGS_DISABLED |
Ce détecteur vérifie si les journaux de flux sont activés sur le sous-réseau VPC. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Ce détecteur vérifie si la propriété |
Définition YAML
Vous trouverez ci-dessous la définition YAML de la stratégie prédéfinie pour VPC Service Controls.
name: organizations/123/locations/global/postureTemplates/vpcsc_extended
description: VPCSC Posture Template
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: VPCSC preventative policy set
description: 6 org policies that new customers can automatically enable.
policies:
- policy_id: Skip default network creation
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.skipDefaultNetworkCreation
policy_rules:
- enforce: true
description: This boolean constraint skips the creation of the default network and related resources during Google Cloud Platform Project resource creation where this constraint is set to True. By default, a default network and supporting resources are automatically created when creating a Project resource.
- policy_id: Restrict public IP access on new Vertex AI Workbench notebooks and instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: ainotebooks.restrictPublicIp
policy_rules:
- enforce: true
description: This boolean constraint, when enforced, restricts public IP access to newly created Vertex AI Workbench notebooks and instances. By default, public IPs can access Vertex AI Workbench notebooks and instances.
- policy_id: Disable VM nested virtualization
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableNestedVirtualization
policy_rules:
- enforce: true
description: This boolean constraint disables hardware-accelerated nested virtualization for all Compute Engine VMs belonging to the organization, project, or folder where this constraint is set to True. By default, hardware-accelerated nested virtualization is allowed for all Compute Engine VMs running on Intel Haswell or newer CPU platforms.
- policy_id: Define allowed external IPs for VM instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.vmExternalIpAccess
policy_rules:
- values:
allowed_values:
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
description: This list constraint defines the set of Compute Engine VM instances that are allowed to use external IP addresses. By default, all VM instances are allowed to use external IP addresses. The allowed/denied list of VM instances must be identified by the VM instance name, in the form of projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
- policy_id: Restrict VPC networks on new Vertex AI Workbench instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: ainotebooks.restrictVpcNetworks
policy_rules:
- values:
allowed_values:
- is:organizations/ORGANIZATION_ID
- is:folders/FOLDER_ID
- is:projects/PROJECT_ID
- is:projects/PROJECT_ID/global/networks/NETWORK_NAME
description: This list constraint defines the VPC networks a user can select when creating new Vertex AI Workbench instances where this constraint is enforced. By default, a Vertex AI Workbench instance can be created with any VPC networks. The allowed or denied list of networks must be identified in the form of under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, or projects/PROJECT_ID/global/networks/NETWORK_NAME.
- policy_id: Restrict VM IP Forwarding
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.vmCanIpForward
policy_rules:
- values:
allowed_values:
- is:organizations/ORGANIZATION_ID
- is:folders/FOLDER_ID
- is:projects/PROJECT_ID
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME.
description: This list constraint defines the set of VM instances that can enable IP forwarding. By default, any VM can enable IP forwarding in any virtual network. VM instances must be specified in the form of under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, or projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. This constraint is not retroactive.
- policy_set_id: VPCSC detective policy set
description: 6 SHA modules that new customers can automatically enable.
policies:
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED
- policy_id: Flow logs settings not recommended
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED