このページでは、Virtual Private Cloud(VPC)ネットワーキングの事前定義された対策の v.1.0 バージョンに含まれる予防的ポリシーと検出ポリシーの拡張事項について説明します。この対策には、次の 2 つのポリシーセットが含まれています。
VPC ネットワーキングに適用される組織のポリシーの制約を含むポリシーセット。
VPC ネットワーキングに適用される Security Health Analytics 検出機能を含むポリシーセット。
この事前定義された対策を使用して、VPC ネットワーキングの保護に役立つセキュリティ対策を構成できます。この事前定義された対策をデプロイする場合は、環境に適用されるようにポリシーの一部をカスタマイズする必要があります。
組織ポリシーの制約
次の表に、この対策に含まれる組織のポリシーの制約を示します。
| ポリシー | 説明 | コンプライアンスの標準 |
|---|---|---|
compute.skipDefaultNetworkCreation |
このブール制約により、新しい各プロジェクトでのデフォルトの VPC ネットワークとデフォルトのファイアウォール ルールの自動作成が無効になり、ネットワークとファイアウォールのルールが意図したとおりに作成されます。 デフォルトの VPC ネットワークが作成されないようにする場合、値は |
NIST SP 800-53 コントロール: SC-7、SC-8 |
ainotebooks.restrictPublicIp |
このブール制約では、新しく作成された Vertex AI Workbench のノートブックとインスタンスへのパブリック IP アクセスが制限されます。デフォルトでは、パブリック IP アドレスから Vertex AI Workbench のノートブックとインスタンスにアクセスできます。 新しい Vertex AI Workbench のノートブックとインスタンスでパブリック IP アクセスを制限する場合、値は |
NIST SP 800-53 コントロール: SC-7、SC-8 |
compute.disableNestedVirtualization |
このブール制約は、すべての Compute Engine VM でネストされた仮想化を無効にして、モニタリングされていないネストされたインスタンスに関連するセキュリティ リスクを軽減します。 VM ネストされた仮想化を無効にする場合、値は |
NIST SP 800-53 コントロール: SC-7、SC-8 |
compute.vmExternalIpAccess |
このリスト型制約は、外部 IP アドレスの使用が許可されている Compute Engine VM インスタンスを定義します。デフォルトでは、すべての VM インスタンスで外部 IP アドレスの使用が許可されます。制約の形式は この事前定義された対策を採用する場合は、この値を構成する必要があります。 |
NIST SP 800-53 コントロール: SC-7、SC-8 |
ainotebooks.restrictVpcNetworks |
このリスト型制約では、この制約が適用される新しい Vertex AI Workbench インスタンスの作成時にユーザーが選択できる VPC ネットワークを定義します。 この事前定義された対策を採用する場合は、この値を構成する必要があります。 |
NIST SP 800-53 コントロール: SC-7、SC-8 |
compute.vmCanIpForward |
このリスト型制約は、新しい Vertex AI Workbench インスタンスの作成時にユーザーが選択できる VPC ネットワークを定義します。デフォルトでは、任意の VPC ネットワークを使用して Vertex AI Workbench インスタンスを作成できます。 この事前定義された対策を採用する場合は、この値を構成する必要があります。 |
NIST SP 800-53 コントロール: SC-7、SC-8 |
Security Health Analytics の検出機能
次の表に、事前定義された対策に含まれる Security Health Analytics 検出機能を示します。これらの検出機能の詳細については、脆弱性の検出結果をご覧ください。
| 検出項目の名前 | 説明 |
|---|---|
FIREWALL_NOT_MONITORED |
この検出機能では、ログ指標とアラートが VPC ファイアウォール ルールの変更をモニタリングするように構成されていないかどうかを確認します。 |
NETWORK_NOT_MONITORED |
この検出機能は、ログ指標とアラートが VPC ネットワークの変更をモニタリングするように構成されていないかどうかを確認します。 |
ROUTE_NOT_MONITORED |
この検出機能は、ログ指標とアラートが VPC ネットワーク ルートの変更をモニタリングするように構成されていないかどうかを確認します。 |
DNS_LOGGING_DISABLED |
この検出機能は、VPC ネットワークで DNS ロギングが有効になっているかどうかを確認します。 |
FLOW_LOGS_DISABLED |
この検出機能は、VPC サブネットワークでフローログが有効になっているかどうかを確認します。 |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
この検出機能は、VPC サブネットワークの |
対策テンプレートを表示する
VPC ネットワーキングの対策テンプレートの拡張事項を表示するには、次の操作を行います。
gcloud
後述のコマンドデータを使用する前に、次のように置き換えます。
-
ORGANIZATION_ID: 組織の数値 ID
gcloud scc posture-templates
describe コマンドを実行します。
Linux、macOS、Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
Windows(PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
Windows(cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
レスポンスには、対策テンプレートが含まれます。
REST
リクエストのデータを使用する前に、次のように置き換えます。
-
ORGANIZATION_ID: 組織の数値 ID
HTTP メソッドと URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
リクエストを送信するには、次のいずれかのオプションを展開します。
レスポンスには、対策テンプレートが含まれます。