Diese Seite wurde von der Cloud Translation API übersetzt.

Vordefinierte Haltung für VPC-Netzwerke, Grundlagen

Auf dieser Seite werden die präventiven und detektiven Richtlinien beschrieben, die in der Version 1.0 der vordefinierten Konfiguration für VPC-Netzwerke (Virtual Private Cloud) enthalten sind. Diese Konfiguration umfasst zwei Richtliniengruppen:

Ein Richtliniensatz, der Organisationsrichtlinieneinschränkungen enthält, die für VPC-Netzwerke gelten.
Ein Richtliniensatz, der Security Health Analytics-Detektoren enthält, die auf VPC-Netzwerke angewendet werden.

Mit dieser vordefinierten Konfiguration können Sie eine Sicherheitskonfiguration erstellen, die zum Schutz von VPC-Netzwerken beiträgt. Sie können diese vordefinierte Haltung ohne Änderungen bereitstellen.

Einschränkungen für Organisationsrichtlinien

In der folgenden Tabelle werden die Einschränkungen der Organisationsrichtlinie beschrieben, die in dieser Konfiguration enthalten sind.

Richtlinie Beschreibung Compliancestandard

Richtlinie	Beschreibung	Compliancestandard
`compute.skipDefaultNetworkCreation`	Diese boolesche Bedingung deaktiviert die automatische Erstellung eines Standard-VPC-Netzwerk und von Standardfirewallregeln in jedem neuen Projekt. So wird sichergestellt, dass Netzwerk- und Firewallregeln bewusst erstellt werden. Der Wert ist `true`, um das Erstellen des Standard-VPC-Netzwerk zu vermeiden.	NIST SP 800-53-Kontrolle: SC-7 und SC-8
`ainotebooks.restrictPublicIp`	Diese boolesche Einschränkung schränkt den Zugriff auf neu erstellte Vertex AI Workbench-Notebooks und ‑Instanzen über öffentliche IP-Adressen ein. Standardmäßig kann über öffentliche IP-Adressen auf Vertex AI Workbench-Notebooks und ‑Instanzen zugegriffen werden. Der Wert ist `true`, um den Zugriff über öffentliche IP-Adressen auf neue Vertex AI Workbench-Notebooks und ‑Instanzen einzuschränken.	NIST SP 800-53-Kontrolle: SC-7 und SC-8
`compute.disableNestedVirtualization`	Mit dieser booleschen Einschränkung wird die verschachtelte Virtualisierung für alle Compute Engine-VMs deaktiviert, um das Sicherheitsrisiko im Zusammenhang mit nicht überwachten verschachtelten Instanzen zu verringern. Der Wert ist `true`, um die verschachtelte Virtualisierung von VMs zu deaktivieren.	NIST SP 800-53-Kontrolle: SC-7 und SC-8

compute.skipDefaultNetworkCreation

Diese boolesche Bedingung deaktiviert die automatische Erstellung eines Standard-VPC-Netzwerk und von Standardfirewallregeln in jedem neuen Projekt. So wird sichergestellt, dass Netzwerk- und Firewallregeln bewusst erstellt werden.

Der Wert ist true, um das Erstellen des Standard-VPC-Netzwerk zu vermeiden.

NIST SP 800-53-Kontrolle: SC-7 und SC-8

ainotebooks.restrictPublicIp

Diese boolesche Einschränkung schränkt den Zugriff auf neu erstellte Vertex AI Workbench-Notebooks und ‑Instanzen über öffentliche IP-Adressen ein. Standardmäßig kann über öffentliche IP-Adressen auf Vertex AI Workbench-Notebooks und ‑Instanzen zugegriffen werden.

Der Wert ist true, um den Zugriff über öffentliche IP-Adressen auf neue Vertex AI Workbench-Notebooks und ‑Instanzen einzuschränken.

NIST SP 800-53-Kontrolle: SC-7 und SC-8

compute.disableNestedVirtualization

Mit dieser booleschen Einschränkung wird die verschachtelte Virtualisierung für alle Compute Engine-VMs deaktiviert, um das Sicherheitsrisiko im Zusammenhang mit nicht überwachten verschachtelten Instanzen zu verringern.

Der Wert ist true, um die verschachtelte Virtualisierung von VMs zu deaktivieren.

NIST SP 800-53-Kontrolle: SC-7 und SC-8

Security Health Analytics – Detektoren

In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in der vordefinierten Konfiguration enthalten sind. Weitere Informationen zu diesen Detektoren finden Sie unter Ergebnisse zu Sicherheitslücken.

Detektorname	Beschreibung
`FIREWALL_NOT_MONITORED`	Dieser Detector prüft, ob Logmesswerte und Benachrichtigungen für das Monitoring von Änderungen an VPC-Firewallregeln konfiguriert sind.
`NETWORK_NOT_MONITORED`	Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert sind.
`ROUTE_NOT_MONITORED`	Dieser Detector prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert sind.
`DNS_LOGGING_DISABLED`	Mit diesem Detektor wird geprüft, ob das DNS-Logging im VPC-Netzwerk aktiviert ist.
`FLOW_LOGS_DISABLED`	Dieser Detektor prüft, ob Flusslogs für das VPC-Subnetzwerk aktiviert sind.

Statusvorlage ansehen

So rufen Sie die Vorlage für die Sicherheitskonfiguration für VPC-Netzwerke auf:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

ORGANIZATION_ID: die numerische ID der Organisation

Führen Sie den Befehl gcloud scc posture-templates describe aus:

Linux, macOS oder Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Die Antwort enthält die Vorlage für die Haltung.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

ORGANIZATION_ID: die numerische ID der Organisation

HTTP-Methode und URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch bei der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto bei der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential" | Select-Object -Expand Content

Die Antwort enthält die Vorlage für die Haltung.

Nächste Schritte

Sicherheitsstatus mit diesem vordefinierten Status erstellen

Vordefinierte Haltung für VPC-Netzwerke, Grundlagen Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Einschränkungen für Organisationsrichtlinien

Security Health Analytics – Detektoren

Statusvorlage ansehen

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

Nächste Schritte

Vordefinierte Haltung für VPC-Netzwerke, Grundlagen