VPC ネットワーキングの事前定義された対策の拡張事項

このページでは、Virtual Private Cloud(VPC)ネットワーキングの事前定義された対策の v.1.0 バージョンに含まれる予防的ポリシーと検出ポリシーの拡張事項について説明します。この対策には、次の 2 つのポリシーセットが含まれています。

  • VPC ネットワーキングに適用される組織のポリシーの制約を含むポリシーセット。

  • VPC ネットワーキングに適用される Security Health Analytics 検出機能を含むポリシーセット。

この事前定義された対策を使用して、VPC ネットワーキングの保護に役立つセキュリティ対策を構成できます。この事前定義された対策をデプロイする場合は、環境に適用されるようにポリシーの一部をカスタマイズする必要があります。

組織ポリシーの制約

次の表に、この対策に含まれる組織のポリシーの制約を示します。

ポリシー 説明 コンプライアンスの標準
compute.skipDefaultNetworkCreation

このブール制約により、新しい各プロジェクトでのデフォルトの VPC ネットワークとデフォルトのファイアウォール ルールの自動作成が無効になり、ネットワークとファイアウォールのルールが意図したとおりに作成されます。

デフォルトの VPC ネットワークが作成されないようにする場合、値は true です。

NIST SP 800-53 コントロール: SC-7、SC-8
ainotebooks.restrictPublicIp

このブール制約では、新しく作成された Vertex AI Workbench のノートブックとインスタンスへのパブリック IP アクセスが制限されます。デフォルトでは、パブリック IP アドレスから Vertex AI Workbench のノートブックとインスタンスにアクセスできます。

新しい Vertex AI Workbench のノートブックとインスタンスでパブリック IP アクセスを制限する場合、値は true です。

NIST SP 800-53 コントロール: SC-7、SC-8
compute.disableNestedVirtualization

このブール制約は、すべての Compute Engine VM でネストされた仮想化を無効にして、モニタリングされていないネストされたインスタンスに関連するセキュリティ リスクを軽減します。

VM のネストされた仮想化を無効にする場合、値は true です。

NIST SP 800-53 コントロール: SC-7、SC-8
compute.vmExternalIpAccess

このリスト型制約は、外部 IP アドレスの使用が許可されている Compute Engine VM インスタンスを定義します。デフォルトでは、すべての VM インスタンスで外部 IP アドレスの使用が許可されます。制約の形式は projects/PROJECT_ID/zones/ZONE/instances/INSTANCE です。

この事前定義された対策を採用する場合は、この値を構成する必要があります。

NIST SP 800-53 コントロール: SC-7、SC-8
ainotebooks.restrictVpcNetworks

このリスト型制約では、この制約が適用される新しい Vertex AI Workbench インスタンスの作成時にユーザーが選択できる VPC ネットワークを定義します。

この事前定義された対策を採用する場合は、この値を構成する必要があります。

NIST SP 800-53 コントロール: SC-7、SC-8
compute.vmCanIpForward

このリスト型制約は、新しい Vertex AI Workbench インスタンスの作成時にユーザーが選択できる VPC ネットワークを定義します。デフォルトでは、任意の VPC ネットワークを使用して Vertex AI Workbench インスタンスを作成できます。

この事前定義された対策を採用する場合は、この値を構成する必要があります。

NIST SP 800-53 コントロール: SC-7、SC-8

Security Health Analytics の検出機能

次の表に、事前定義された対策に含まれる Security Health Analytics 検出機能を示します。これらの検出機能の詳細については、脆弱性の検出結果をご覧ください。

検出項目の名前 説明
FIREWALL_NOT_MONITORED

この検出機能は、ログ指標とアラートが VPC ファイアウォール ルールの変更をモニタリングするように構成されていないかどうかを確認します。

NETWORK_NOT_MONITORED

この検出機能は、ログ指標とアラートが VPC ネットワークの変更をモニタリングするように構成されていないかどうかを確認します。

ROUTE_NOT_MONITORED

この検出機能は、ログ指標とアラートが VPC ネットワーク ルートの変更をモニタリングするように構成されていないかどうかを確認します。

DNS_LOGGING_DISABLED

この検出機能は、VPC ネットワークで DNS ロギングが有効になっているかどうかを確認します。

FLOW_LOGS_DISABLED

この検出機能は、VPC サブネットワークでフローログが有効になっているかどうかを確認します。

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

この検出機能は、VPC サブネットワークの enableFlowLogs プロパティが存在しないか、false に設定されているかどうかをチェックします。

対策テンプレートを表示する

VPC ネットワーキングの対策テンプレートの拡張事項を表示するには、次の操作を行います。

gcloud

後述のコマンドデータを使用する前に、次のように置き換えます。

  • ORGANIZATION_ID: 組織の数値 ID

gcloud scc posture-templates describe コマンドを実行します。

Linux、macOS、Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows(PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows(cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

レスポンスには、対策テンプレートが含まれます。

REST

リクエストのデータを使用する前に、次のように置き換えます。

  • ORGANIZATION_ID: 組織の数値 ID

HTTP メソッドと URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

リクエストを送信するには、次のいずれかのオプションを展開します。

レスポンスには、対策テンプレートが含まれます。

次のステップ