이 페이지에서는 VPC 서비스 제어를 위한 사전 정의된 상황(확장 요소)의 v1.0 버전에 포함된 예방 및 감지 정책에 대해 설명합니다. 이 상황에는 두 가지 정책 집합이 포함됩니다.
VPC 서비스 제어에 적용되는 조직 정책을 포함하는 정책 집합
VPC 서비스 제어에 적용되는 커스텀 Security Health Analytics 감지기를 포함하는 정책 집합
이 사전 정의된 상황을 사용해서 VPC 서비스 제어 보호에 도움이 되는 보안 상황을 구성할 수 있습니다. 이 사전 정의된 상황을 배포하려면 환경에 적용되도록 일부 정책을 맞춤설정해야 합니다.
조직 정책 제약조건
다음 표에서는 이 상황에 포함된 조직 정책에 대해 설명합니다.
| 정책 | 설명 | 규정 준수 표준 |
|---|---|---|
compute.skipDefaultNetworkCreation |
이 정책은 각각의 새로운 프로젝트에서 기본 VPC 네트워크 및 기존 방화벽 규칙이 자동으로 생성되지 않도록 방지하여 네트워크 및 방화벽 규칙이 의도한 대로 생성될 수 있도록 보장합니다. 값은 |
NIST SP 800-53 제어: SC-7 및 SC-8 |
ainotebooks.restrictPublicIp |
이 제약조건은 새로 만든 Vertex AI Workbench 노트북 및 인스턴스에 대한 공개 IP 액세스를 제한합니다. 기본적으로 공개 IP 주소는 Vertex AI Workbench 노트북 및 인스턴스에 액세스할 수 있습니다. 값은 |
NIST SP 800-53 제어: SC-7 및 SC-8 |
compute.disableNestedVirtualization |
이 정책은 모니터링되지 않은 중첩된 인스턴스와 관련된 보안 위험을 줄이기 위해 모든 Compute Engine VM에 대해 중첩된 가상화를 사용 중지합니다. 값은 |
NIST SP 800-53 제어: SC-7 및 SC-8 |
compute.vmExternalIpAccess |
이 제약조건은 외부 IP 주소를 사용하도록 허용되는 Compute Engine VM 인스턴스를 정의합니다. 기본적으로 모든 VM 인스턴스에서 외부 IP 주소를 사용할 수 있습니다. 이 제약조건에는 이 사전 정의된 상황을 채택할 때 이 값을 구성해야 합니다. |
NIST SP 800-53 제어: SC-7 및 SC-8 |
ainotebooks.restrictVpcNetworks |
이 목록은 이 제약조건이 적용되는 Vertex AI Workbench 인스턴스를 새로 만들 때 사용자가 선택할 수 있는 VPC 네트워크를 정의합니다. 이 사전 정의된 상황을 채택할 때 이 값을 구성해야 합니다. |
NIST SP 800-53 제어: SC-7 및 SC-8 |
compute.vmCanIpForward |
이 제약조건은 사용자가 새 Vertex AI Workbench 인스턴스를 만들 때 선택할 수 있는 VPC 네트워크를 정의합니다. 기본적으로 VPC 네트워크에 Vertex AI Workbench 인스턴스를 만들 수 있습니다. 이 사전 정의된 상황을 채택할 때 이 값을 구성해야 합니다. |
NIST SP 800-53 제어: SC-7 및 SC-8 |
Security Health Analytics 감지기
다음 표에서는 사전 정의된 상황에 포함된 Security Health Analytics 감지기에 대해 설명합니다. 이러한 감지기에 대한 자세한 내용은 취약점 발견 항목을 참조하세요.
| 감지기 이름 | 설명 |
|---|---|
FIREWALL_NOT_MONITORED |
이 감지기는 로그 측정항목 및 알림이 VPC 방화벽 규칙 변경사항을 모니터링하도록 구성되지 않았는지 확인합니다. |
NETWORK_NOT_MONITORED |
이 감지기는 로그 측정항목 및 알림이 VPC 네트워크 변경사항을 모니터링하도록 구성되지 않았는지 확인합니다. |
ROUTE_NOT_MONITORED |
이 감지기는 로그 측정항목 및 알림이 VPC 네트워크 경로 변경사항을 모니터링하도록 구성되지 않았는지 확인합니다. |
DNS_LOGGING_DISABLED |
이 감지기는 VPC 네트워크에서 DNS 로깅이 사용 설정되었는지 확인합니다. |
FLOW_LOGS_DISABLED |
이 감지기는 VPC 서브네트워크에서 흐름 로그가 사용 설정되었는지 확인합니다. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
이 감지기는 VPC 서브네트워크의 |
YAML 정의
다음은 VPC 서비스 제어의 사전 정의된 상황에 대한 YAML 정의입니다.
name: organizations/123/locations/global/postureTemplates/vpcsc_extended
description: VPCSC Posture Template
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: VPCSC preventative policy set
description: 6 org policies that new customers can automatically enable.
policies:
- policy_id: Skip default network creation
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.skipDefaultNetworkCreation
policy_rules:
- enforce: true
description: This boolean constraint skips the creation of the default network and related resources during Google Cloud Platform Project resource creation where this constraint is set to True. By default, a default network and supporting resources are automatically created when creating a Project resource.
- policy_id: Restrict public IP access on new Vertex AI Workbench notebooks and instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: ainotebooks.restrictPublicIp
policy_rules:
- enforce: true
description: This boolean constraint, when enforced, restricts public IP access to newly created Vertex AI Workbench notebooks and instances. By default, public IPs can access Vertex AI Workbench notebooks and instances.
- policy_id: Disable VM nested virtualization
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableNestedVirtualization
policy_rules:
- enforce: true
description: This boolean constraint disables hardware-accelerated nested virtualization for all Compute Engine VMs belonging to the organization, project, or folder where this constraint is set to True. By default, hardware-accelerated nested virtualization is allowed for all Compute Engine VMs running on Intel Haswell or newer CPU platforms.
- policy_id: Define allowed external IPs for VM instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.vmExternalIpAccess
policy_rules:
- values:
allowed_values:
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
description: This list constraint defines the set of Compute Engine VM instances that are allowed to use external IP addresses. By default, all VM instances are allowed to use external IP addresses. The allowed/denied list of VM instances must be identified by the VM instance name, in the form of projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
- policy_id: Restrict VPC networks on new Vertex AI Workbench instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: ainotebooks.restrictVpcNetworks
policy_rules:
- values:
allowed_values:
- is:organizations/ORGANIZATION_ID
- is:folders/FOLDER_ID
- is:projects/PROJECT_ID
- is:projects/PROJECT_ID/global/networks/NETWORK_NAME
description: This list constraint defines the VPC networks a user can select when creating new Vertex AI Workbench instances where this constraint is enforced. By default, a Vertex AI Workbench instance can be created with any VPC networks. The allowed or denied list of networks must be identified in the form of under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, or projects/PROJECT_ID/global/networks/NETWORK_NAME.
- policy_id: Restrict VM IP Forwarding
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.vmCanIpForward
policy_rules:
- values:
allowed_values:
- is:organizations/ORGANIZATION_ID
- is:folders/FOLDER_ID
- is:projects/PROJECT_ID
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME.
description: This list constraint defines the set of VM instances that can enable IP forwarding. By default, any VM can enable IP forwarding in any virtual network. VM instances must be specified in the form of under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, or projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. This constraint is not retroactive.
- policy_set_id: VPCSC detective policy set
description: 6 SHA modules that new customers can automatically enable.
policies:
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED
- policy_id: Flow logs settings not recommended
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED