此页面由 Cloud Translation API 翻译。

VPC 网络的预定义状态，必备信息

本页面介绍了 Virtual Private Cloud (VPC) 网络（基本）预定义安全配置（版本 1.0）中包含的预防性政策和检测性政策。此姿态包含两组政策：

包含适用于 VPC 网络功能的组织政策限制条件的政策集。
包含适用于 VPC 网络的安全运行状况分析检测器的政策集。

您可以使用此预定义的安全状况来配置有助于保护 VPC 网络的安全状况。您可以部署此预定义姿势，而无需进行任何更改。

组织政策限制条件

下表介绍了此姿态中包含的组织政策限制条件。

政策说明合规标准

政策	说明	合规标准
`compute.skipDefaultNetworkCreation`	此布尔值限制条件会停用在每个新项目中自动创建默认 VPC 网络和默认防火墙规则的功能，从而确保网络和防火墙规则是故意创建的。该值为 `true`，以避免创建默认 VPC 网络。	NIST SP 800-53 控制措施：SC-7 和 SC-8
`ainotebooks.restrictPublicIp`	此布尔值限制条件会限制公共 IP 对新创建的 Vertex AI Workbench 笔记本和实例的访问权限。默认情况下，公共 IP 地址可以访问 Vertex AI Workbench 笔记本和实例。值为 `true` 时，表示限制对新的 Vertex AI Workbench 笔记本和实例的公共 IP 访问权限。	NIST SP 800-53 控制措施：SC-7 和 SC-8
`compute.disableNestedVirtualization`	此布尔值限制条件会针对所有 Compute Engine 虚拟机停用嵌套虚拟化功能，以降低与不受监控的嵌套实例相关的安全风险。值为 `true` 时，表示关闭虚拟机嵌套虚拟化。	NIST SP 800-53 控制措施：SC-7 和 SC-8

compute.skipDefaultNetworkCreation

此布尔值限制条件会停用在每个新项目中自动创建默认 VPC 网络和默认防火墙规则的功能，从而确保网络和防火墙规则是故意创建的。

该值为 true，以避免创建默认 VPC 网络。

NIST SP 800-53 控制措施：SC-7 和 SC-8

ainotebooks.restrictPublicIp

此布尔值限制条件会限制公共 IP 对新创建的 Vertex AI Workbench 笔记本和实例的访问权限。默认情况下，公共 IP 地址可以访问 Vertex AI Workbench 笔记本和实例。

值为 true 时，表示限制对新的 Vertex AI Workbench 笔记本和实例的公共 IP 访问权限。

NIST SP 800-53 控制措施：SC-7 和 SC-8

compute.disableNestedVirtualization

此布尔值限制条件会针对所有 Compute Engine 虚拟机停用嵌套虚拟化功能，以降低与不受监控的嵌套实例相关的安全风险。

值为 true 时，表示关闭虚拟机嵌套虚拟化。

NIST SP 800-53 控制措施：SC-7 和 SC-8

Security Health Analytics 检测器

下表介绍了预定义安全状况中包含的 Security Health Analytics 检测器。如需详细了解这些检测器，请参阅漏洞发现结果。

检测器名称	说明
`FIREWALL_NOT_MONITORED`	此检测器会检查日志指标和提醒是否未配置为监控 VPC 防火墙规则更改。
`NETWORK_NOT_MONITORED`	此检测器用于检查日志指标和提醒是否未配置为监控 VPC 网络更改。
`ROUTE_NOT_MONITORED`	此检测器会检查日志指标和提醒是否未配置为监控 VPC 网络路由更改。
`DNS_LOGGING_DISABLED`	此检测器会检查 VPC 网络上是否已启用 DNS 日志记录。
`FLOW_LOGS_DISABLED`	此检测器会检查 VPC 子网是否已启用流日志。

查看姿态模板

如需查看 VPC 网络基本配置的姿态模板，请执行以下操作：

gcloud

在使用下面的命令数据之前，请先进行以下替换：

ORGANIZATION_ID：组织的数字 ID

执行 gcloud scc posture-templates describe 命令：

Linux、macOS 或 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

响应包含姿势模板。

REST

在使用任何请求数据之前，请先进行以下替换：

ORGANIZATION_ID：组织的数字 ID

HTTP 方法和网址：

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

如需发送您的请求，请展开以下选项之一：

curl（Linux、macOS 或 Cloud Shell）

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI，或者使用了 Cloud Shell，这会使您自动登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

执行以下命令：

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential"

PowerShell (Windows)

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

执行以下命令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential" | Select-Object -Expand Content

响应包含姿势模板。

后续步骤

使用此预定义安全状况创建安全状况。

VPC 网络的预定义状态，必备信息 使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

组织政策限制条件

Security Health Analytics 检测器

查看姿态模板

gcloud

Linux、macOS 或 Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl（Linux、macOS 或 Cloud Shell）

PowerShell (Windows)

后续步骤

VPC 网络的预定义状态，必备信息