Questa pagina descrive i criteri di prevenzione e rilevamento inclusi nella versione 1.0 della postura predefinita per le reti Virtual Private Cloud (VPC), elementi essenziali. Questa postura include due insiemi di criteri:
Un insieme di criteri che include vincoli dei criteri dell'organizzazione che si applicano alla rete VPC.
Un insieme di criteri che include i rilevatori di Security Health Analytics che si applicano alla rete VPC.
Puoi utilizzare questa posizione predefinita per configurare una posizione di sicurezza che contribuisca a proteggere la rete VPC. Puoi implementare questa postura predefinita senza apportare modifiche.
Vincoli dei criteri dell'organizzazione
La tabella seguente descrive i vincoli dei criteri dell'organizzazione inclusi in questa posizione.
| Norme | Descrizione | Standard di conformità |
|---|---|---|
compute.skipDefaultNetworkCreation |
Questo vincolo booleano disattiva la creazione automatica di una rete VPC predefinita e di regole firewall predefinite in ogni nuovo progetto, garantendo che le regole di rete e del firewall vengano create intenzionalmente. Il valore è
|
Controllo NIST SP 800-53: SC-7 e SC-8 |
ainotebooks.restrictPublicIp |
Questo vincolo booleano limita l'accesso degli IP pubblici a istanze e notebook di Vertex AI Workbench appena creati. Per impostazione predefinita, gli indirizzi IP pubblici possono accedere alle istanze e ai notebook di Vertex AI Workbench. Il valore è |
Controllo NIST SP 800-53: SC-7 e SC-8 |
compute.disableNestedVirtualization |
Questo vincolo booleano disattiva la virtualizzazione nidificata per tutte le VM Compute Engine per ridurre il rischio alla sicurezza correlato alle istanze nidificate non monitorate. Il valore è |
Controllo NIST SP 800-53: SC-7 e SC-8 |
Rilevamento di Security Health Analytics
La tabella seguente descrive i rilevatori di Security Health Analytics inclusi nella posizione predefinita. Per ulteriori informazioni su questi rilevatori, consulta Risultati delle vulnerabilità.
| Nome rilevatore | Descrizione |
|---|---|
FIREWALL_NOT_MONITORED |
Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole del firewall VPC. |
NETWORK_NOT_MONITORED |
Questo rilevatore controlla se le metriche dei log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC. |
ROUTE_NOT_MONITORED |
Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC. |
DNS_LOGGING_DISABLED |
Questo rilevatore controlla se il logging DNS è abilitato sulla rete VPC. |
FLOW_LOGS_DISABLED |
Questo rilevatore controlla se i log di flusso sono abilitati nella sottorete VPC. |
Visualizza il modello di postura
Per visualizzare il modello di conformità per le reti VPC, segui questi passaggi:
gcloud
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Esegui il comando
gcloud scc posture-templates
describe:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
La risposta contiene il modello di postura.
REST
Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione
Metodo HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il modello di postura.