本页介绍了 v1.0 版 Virtual Private Cloud (VPC) 网络基本预定义状态中包含的预防和检测政策。此状态包括两组政策:
包含适用于 VPC 网络的组织政策限制条件的政策集。
包含适用于 VPC 网络的 Security Health Analytics 检测器的政策集。
您可以使用此预定义状态来配置有助于保护 VPC 网络的安全状态。您无需进行任何更改,即可部署此预定义状态。
组织政策限制条件
下表介绍了此状态中包含的组织政策限制条件。
| 政策 | 说明 | 合规标准 |
|---|---|---|
compute.skipDefaultNetworkCreation |
此布尔值约束条件会在每个新项目中停用自动创建默认 VPC 网络和默认防火墙规则,确保有意创建网络和防火墙规则。 值为 |
NIST SP 800-53 控制措施:SC-7 和 SC-8 |
ainotebooks.restrictPublicIp |
此布尔值限制条件会限制公共 IP 对新创建的 Vertex AI Workbench 笔记本和实例的访问权限。默认情况下,公共 IP 地址可以访问 Vertex AI Workbench 笔记本和实例。 值为 |
NIST SP 800-53 控制措施:SC-7 和 SC-8 |
compute.disableNestedVirtualization |
此布尔值限制条件会为所有 Compute Engine 虚拟机停用嵌套虚拟化,以降低与不受监控的嵌套实例相关的安全风险。 值为 |
NIST SP 800-53 控制措施:SC-7 和 SC-8 |
Security Health Analytics 检测器
下表介绍了预定义状态中包含的 Security Health Analytics 检测器。如需详细了解这些检测器,请参阅漏洞发现结果。
| 检测器名称 | 说明 |
|---|---|
FIREWALL_NOT_MONITORED |
此检测器用于检查日志指标和提醒是否未配置为监控 VPC 防火墙规则更改。 |
NETWORK_NOT_MONITORED |
此检测器用于检查日志指标和提醒是否未配置为监控 VPC 网络更改。 |
ROUTE_NOT_MONITORED |
此检测器用于检查日志指标和提醒是否未配置为监控 VPC 网络路由更改。 |
DNS_LOGGING_DISABLED |
此检测器会检查 VPC 网络上是否已启用 DNS 日志记录。 |
FLOW_LOGS_DISABLED |
此检测器会检查 VPC 子网上是否已启用流日志。 |
查看安全状况模板
如需查看 VPC 网络“必备”的配置状态模板,请执行以下操作:
gcloud
在使用下面的命令数据之前,请先进行以下替换:
-
ORGANIZATION_ID:组织的数字 ID
执行 gcloud scc posture-templates
describe 命令:
Linux、macOS 或 Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
响应包含配置状态模板。
REST
在使用任何请求数据之前,请先进行以下替换:
-
ORGANIZATION_ID:组织的数字 ID
HTTP 方法和网址:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
如需发送您的请求,请展开以下选项之一:
响应包含配置状态模板。