Esta página se ha traducido con Cloud Translation API.

Postura predefinida para redes de VPC, aspectos básicos

En esta página se describen las políticas preventivas y de detección que se incluyen en la versión 1.0 de la postura predefinida de la red de nube privada virtual (VPC) Essentials. Esta postura incluye dos conjuntos de políticas:

Un conjunto de políticas que incluye restricciones de políticas de organización que se aplican a las redes de VPC.
Un conjunto de políticas que incluye detectores de Security Health Analytics que se aplican a las redes VPC.

Puedes usar esta postura predefinida para configurar una postura de seguridad que ayude a proteger las redes VPC. Puedes implementar esta postura predefinida sin hacer ningún cambio.

Restricciones de las políticas de organización

En la siguiente tabla se describen las restricciones de las políticas de la organización que se incluyen en esta postura.

Política Descripción Estándar de cumplimiento

Política	Descripción	Estándar de cumplimiento
`compute.skipDefaultNetworkCreation`	Esta restricción booleana inhabilita la creación automática de una red de VPC predeterminada y de reglas de cortafuegos predeterminadas en cada proyecto nuevo, lo que asegura que las redes y las reglas de cortafuegos se creen de forma intencionada. El valor es `true` para evitar crear la red de VPC predeterminada.	Control NIST SP 800-53: SC-7 y SC-8
`ainotebooks.restrictPublicIp`	Esta restricción booleana restringe el acceso a IP públicas a los cuadernos e instancias de Vertex AI Workbench recién creados. De forma predeterminada, las direcciones IP públicas pueden acceder a los notebooks y las instancias de Vertex AI Workbench. El valor es `true` para restringir el acceso a IP públicas en los nuevos cuadernos e instancias de Vertex AI Workbench.	Control NIST SP 800-53: SC-7 y SC-8
`compute.disableNestedVirtualization`	Esta restricción booleana inhabilita la virtualización anidada en todas las VMs de Compute Engine para reducir el riesgo de seguridad relacionado con las instancias anidadas no monitorizadas. El valor es `true` para desactivar la virtualización anidada de la máquina virtual.	Control NIST SP 800-53: SC-7 y SC-8

compute.skipDefaultNetworkCreation

Esta restricción booleana inhabilita la creación automática de una red de VPC predeterminada y de reglas de cortafuegos predeterminadas en cada proyecto nuevo, lo que asegura que las redes y las reglas de cortafuegos se creen de forma intencionada.

El valor es true para evitar crear la red de VPC predeterminada.

Control NIST SP 800-53: SC-7 y SC-8

ainotebooks.restrictPublicIp

Esta restricción booleana restringe el acceso a IP públicas a los cuadernos e instancias de Vertex AI Workbench recién creados. De forma predeterminada, las direcciones IP públicas pueden acceder a los notebooks y las instancias de Vertex AI Workbench.

El valor es true para restringir el acceso a IP públicas en los nuevos cuadernos e instancias de Vertex AI Workbench.

Control NIST SP 800-53: SC-7 y SC-8

compute.disableNestedVirtualization

Esta restricción booleana inhabilita la virtualización anidada en todas las VMs de Compute Engine para reducir el riesgo de seguridad relacionado con las instancias anidadas no monitorizadas.

El valor es true para desactivar la virtualización anidada de la máquina virtual.

Control NIST SP 800-53: SC-7 y SC-8

Detectores de Security Health Analytics

En la siguiente tabla se describen los detectores de Security Health Analytics que se incluyen en la postura predefinida. Para obtener más información sobre estos detectores, consulta Resultados de vulnerabilidades.

Nombre del detector	Descripción
`FIREWALL_NOT_MONITORED`	Este detector comprueba si las métricas de registro y las alertas no están configuradas para monitorizar los cambios en las reglas de cortafuegos de VPC.
`NETWORK_NOT_MONITORED`	Este detector comprueba si las métricas de registro y las alertas no están configuradas para monitorizar los cambios en la red de VPC.
`ROUTE_NOT_MONITORED`	Este detector comprueba si las métricas de registro y las alertas no están configuradas para monitorizar los cambios en las rutas de la red de VPC.
`DNS_LOGGING_DISABLED`	Este detector comprueba si el registro de DNS está habilitado en la red de VPC.
`FLOW_LOGS_DISABLED`	Este detector comprueba si los registros de flujo están habilitados en la subred de la VPC.

Ver la plantilla de postura

Para ver la plantilla de postura de la red de VPC y los elementos esenciales, haga lo siguiente:

gcloud

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

ORGANIZATION_ID: el ID numérico de la organización

Ejecuta el comando gcloud scc posture-templates describe:

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

La respuesta contiene la plantilla de postura.

REST

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

ORGANIZATION_ID: el ID numérico de la organización

Método HTTP y URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Para enviar tu solicitud, despliega una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: En el siguiente comando se presupone que has iniciado sesión en la CLI de gcloud con tu cuenta de usuario ejecutando gcloud init o gcloud auth login , o bien usando Cloud Shell, que inicia sesión automáticamente en la CLI de gcloud . Para comprobar qué cuenta está activa, ejecuta gcloud auth list.

Ejecuta el comando siguiente:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential"

PowerShell (Windows)

Nota: El siguiente comando presupone que has iniciado sesión en la CLI de gcloud con tu cuenta de usuario ejecutando gcloud init o gcloud auth login . Para comprobar qué cuenta está activa, ejecuta gcloud auth list.

Ejecuta el comando siguiente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential" | Select-Object -Expand Content

La respuesta contiene la plantilla de postura.

Siguientes pasos

Crea una postura de seguridad con esta postura predefinida.

Postura predefinida para redes de VPC, aspectos básicos Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Restricciones de las políticas de organización

Detectores de Security Health Analytics

Ver la plantilla de postura

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Siguientes pasos

Postura predefinida para redes de VPC, aspectos básicos