本頁面由 Cloud Translation API 翻譯而成。

虛擬私有雲網路的預先定義安全狀況，基本

本頁面說明虛擬私有雲 (VPC) 網路基本設定的預先定義安全狀況 (1.0 版) 中，包含的預防和偵測政策。這項防護機制包含兩個政策組合：

政策集，包含適用於 VPC 網路的機構政策限制。
政策集，內含適用於 VPC 網路的安全狀態分析偵測工具。

您可以使用這項預先定義的狀態，設定有助於保護虛擬私有雲網路的安全性狀態。您可以部署這項預先定義的姿勢，不必進行任何變更。

機構政策限制

下表說明這項狀態包含的機構政策限制。

政策說明法規遵循標準

政策	說明	法規遵循標準
`compute.skipDefaultNetworkCreation`	這項布林限制會停用每個新專案中預設 VPC 網路和預設防火牆規則的自動建立作業，確保網路和防火牆規則是刻意建立的。值為 `true`，可避免建立預設虛擬私有雲網路。	NIST SP 800-53 控制措施：SC-7 和 SC-8
`ainotebooks.restrictPublicIp`	這項布林值限制會限制公開 IP 對新建立的 Vertex AI Workbench 筆記本和執行個體的存取權。根據預設，公開 IP 位址可存取 Vertex AI Workbench 筆記本和執行個體。值為 `true`，可限制公開 IP 對新 Vertex AI Workbench 筆記本和執行個體的存取權。	NIST SP 800-53 控制措施：SC-7 和 SC-8
`compute.disableNestedVirtualization`	這項布林限制會停用所有 Compute Engine VM 的巢狀虛擬化功能，以降低未受監控的巢狀執行個體帶來的安全性風險。值為 `true`，可關閉 VM 巢狀虛擬化功能。	NIST SP 800-53 控制措施：SC-7 和 SC-8

compute.skipDefaultNetworkCreation

這項布林限制會停用每個新專案中預設 VPC 網路和預設防火牆規則的自動建立作業，確保網路和防火牆規則是刻意建立的。

值為 true，可避免建立預設虛擬私有雲網路。

NIST SP 800-53 控制措施：SC-7 和 SC-8

ainotebooks.restrictPublicIp

這項布林值限制會限制公開 IP 對新建立的 Vertex AI Workbench 筆記本和執行個體的存取權。根據預設，公開 IP 位址可存取 Vertex AI Workbench 筆記本和執行個體。

值為 true，可限制公開 IP 對新 Vertex AI Workbench 筆記本和執行個體的存取權。

NIST SP 800-53 控制措施：SC-7 和 SC-8

compute.disableNestedVirtualization

這項布林限制會停用所有 Compute Engine VM 的巢狀虛擬化功能，以降低未受監控的巢狀執行個體帶來的安全性風險。

值為 true，可關閉 VM 巢狀虛擬化功能。

NIST SP 800-53 控制措施：SC-7 和 SC-8

安全狀態分析偵測工具

下表說明預先定義狀態中包含的安全性狀態分析偵測器。如要進一步瞭解這些偵測器，請參閱「安全漏洞發現項目」。

偵測工具名稱	說明
`FIREWALL_NOT_MONITORED`	這個偵測器會檢查記錄指標和快訊是否未設定為監控虛擬私有雲防火牆規則變更。
`NETWORK_NOT_MONITORED`	這個偵測器會檢查記錄指標和快訊是否未設定為監控虛擬私有雲網路變更。
`ROUTE_NOT_MONITORED`	這個偵測器會檢查記錄指標和快訊是否未設定為監控虛擬私有雲網路路徑變更。
`DNS_LOGGING_DISABLED`	這個偵測器會檢查虛擬私有雲網路是否已啟用 DNS 記錄功能。
`FLOW_LOGS_DISABLED`	這個偵測器會檢查虛擬私有雲子網路是否已啟用流量記錄。

查看防護機制範本

如要查看虛擬私有雲網路、基本功能的安全狀態範本，請按照下列步驟操作：

gcloud

使用下方的任何指令資料之前，請先替換以下項目：

ORGANIZATION_ID：機構的數值 ID

執行 gcloud scc posture-templates describe 指令：

Linux、macOS 或 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

回覆會包含姿勢範本。

REST

使用任何要求資料之前，請先替換以下項目：

ORGANIZATION_ID：機構的數值 ID

HTTP 方法和網址：

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

注意： 下列指令假設您已執行 gcloud init 或 gcloud auth login，透過使用者帳戶登入 gcloud CLI，或使用 Cloud Shell，自動登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential"

PowerShell (Windows)

注意： 下列指令假設您已執行 gcloud init 或 gcloud auth login，透過使用者帳戶登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential" | Select-Object -Expand Content

回覆會包含姿勢範本。

後續步驟

使用這個預先定義的防護機制建立安全防護機制。

虛擬私有雲網路的預先定義安全狀況，基本 透過集合功能整理內容 你可以依據偏好儲存及分類內容。

機構政策限制

安全狀態分析偵測工具

查看防護機制範本

gcloud

Linux、macOS 或 Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux、macOS 或 Cloud Shell)

PowerShell (Windows)

後續步驟

虛擬私有雲網路的預先定義安全狀況，基本