Vordefinierte Haltung für VPC-Netzwerke, erweitert
Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Auf dieser Seite werden die präventiven und detektiven Richtlinien beschrieben, die in der Version 1.0 der erweiterten vordefinierten Konfiguration für VPC-Netzwerke (Virtual Private Cloud) enthalten sind. Diese Konfiguration umfasst zwei Richtliniengruppen:
Ein Richtliniensatz, der Organisationsrichtlinieneinschränkungen enthält, die für VPC-Netzwerke gelten.
Ein Richtliniensatz, der Security Health Analytics-Detektoren enthält, die auf VPC-Netzwerke angewendet werden.
Mit dieser vordefinierten Konfiguration können Sie eine Sicherheitskonfiguration erstellen, die zum Schutz von VPC-Netzwerken beiträgt. Wenn Sie diese vordefinierte Sicherheitskonfiguration bereitstellen möchten, müssen Sie einige der Richtlinien an Ihre Umgebung anpassen.
Einschränkungen für Organisationsrichtlinien
In der folgenden Tabelle werden die Einschränkungen der Organisationsrichtlinie beschrieben, die in dieser Konfiguration enthalten sind.
Richtlinie
Beschreibung
Compliancestandard
compute.skipDefaultNetworkCreation
Diese boolesche Bedingung deaktiviert die automatische Erstellung eines Standard-VPC-Netzwerk und von Standardfirewallregeln in jedem neuen Projekt. So wird sichergestellt, dass Netzwerk- und Firewallregeln bewusst erstellt werden.
Der Wert ist true, um das Erstellen des Standard-VPC-Netzwerk zu vermeiden.
NIST SP 800-53-Kontrolle: SC-7 und SC-8
ainotebooks.restrictPublicIp
Diese boolesche Einschränkung schränkt den Zugriff auf neu erstellte Vertex AI Workbench-Notebooks und ‑Instanzen über öffentliche IP-Adressen ein. Standardmäßig kann über öffentliche IP-Adressen auf Vertex AI Workbench-Notebooks und ‑Instanzen zugegriffen werden.
Der Wert ist true, um den Zugriff über öffentliche IP-Adressen auf neue Vertex AI Workbench-Notebooks und ‑Instanzen einzuschränken.
NIST SP 800-53-Kontrolle: SC-7 und SC-8
compute.disableNestedVirtualization
Mit dieser booleschen Einschränkung wird die verschachtelte Virtualisierung für alle Compute Engine-VMs deaktiviert, um das Sicherheitsrisiko im Zusammenhang mit nicht überwachten verschachtelten Instanzen zu verringern.
Der Wert ist true, um die verschachtelte Virtualisierung von VMs zu deaktivieren.
NIST SP 800-53-Kontrolle: SC-7 und SC-8
compute.vmExternalIpAccess
Diese Listeneinschränkung definiert die Compute Engine-VM-Instanzen, die externe IP-Adressen verwenden dürfen. Standardmäßig können alle VM-Instanzen externe IP-Adressen verwenden. Die Einschränkung hat das Format projects/PROJECT_ID/zones/ZONE/instances/INSTANCE.
Sie müssen diesen Wert konfigurieren, wenn Sie diese vordefinierte Einstellung übernehmen.
NIST SP 800-53-Kontrolle: SC-7 und SC-8
ainotebooks.restrictVpcNetworks
Diese Listeneinschränkung definiert die VPC-Netzwerke, die ein Nutzer auswählen kann, wenn er neue Vertex AI Workbench-Instanzen erstellt, in denen diese Einschränkung erzwungen wird.
Sie müssen diesen Wert konfigurieren, wenn Sie diese vordefinierte Einstellung übernehmen.
NIST SP 800-53-Kontrolle: SC-7 und SC-8
compute.vmCanIpForward
Diese Listenbeschränkung definiert die VPC-Netzwerke, die ein Nutzer auswählen kann, wenn er neue Vertex AI Workbench-Instanzen erstellt. Standardmäßig können Sie eine Vertex AI Workbench-Instanz mit einem beliebigen VPC-Netzwerk erstellen.
Sie müssen diesen Wert konfigurieren, wenn Sie diese vordefinierte Einstellung übernehmen.
NIST SP 800-53-Kontrolle: SC-7 und SC-8
Security Health Analytics – Detektoren
In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in der vordefinierten Konfiguration enthalten sind. Weitere Informationen zu diesen Detektoren finden Sie unter Ergebnisse zu Sicherheitslücken.
Detektorname
Beschreibung
FIREWALL_NOT_MONITORED
Dieser Detector prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an VPC-Firewallregeln konfiguriert sind.
NETWORK_NOT_MONITORED
Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert sind.
ROUTE_NOT_MONITORED
Dieser Detector prüft, ob Logmesswerte und Benachrichtigungen nicht für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert sind.
DNS_LOGGING_DISABLED
Mit diesem Detektor wird geprüft, ob das DNS-Logging im VPC-Netzwerk aktiviert ist.
FLOW_LOGS_DISABLED
Dieser Detektor prüft, ob Flusslogs für das VPC-Subnetzwerk aktiviert sind.
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED
Dieser Detektor prüft, ob das Attribut enableFlowLogs von VPC-Subnetzwerken fehlt oder auf false gesetzt ist.
Statusvorlage ansehen
So rufen Sie die Vorlage für die Sicherheitskonfiguration für VPC-Netzwerke (erweitert) auf:
gcloud
Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
ORGANIZATION_ID: die numerische ID der Organisation
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-08-21 (UTC)."],[],[],null,["# Predefined posture for VPC networking, extended\n\n| Premium and Enterprise [service tiers](/security-command-center/docs/service-tiers) (requires [organization-level activation](/security-command-center/docs/activate-scc-overview#overview_of_organization-level_activation))\n\nThis page describes the preventative and detective policies that are included in\nthe v.1.0 version of the predefined posture for Virtual Private Cloud (VPC)\nnetworking, extended. This posture includes two policy sets:\n\n- A policy set that includes organization policy constraints that apply to\n VPC networking.\n\n- A policy set that includes Security Health Analytics detectors that apply to\n VPC networking.\n\nYou can use this predefined posture to configure a security posture that helps\nprotect VPC networking. If you want to deploy this predefined\nposture, you must customize some of the policies so that they apply to your\nenvironment.\n\nOrganization policy constraints\n-------------------------------\n\nThe following table describes the organization policy constraints that are\nincluded in this posture.\n\nSecurity Health Analytics detectors\n-----------------------------------\n\nThe following table describes the Security Health Analytics detectors that are included in\nthe predefined posture. For more information about these detectors, see\n[Vulnerability findings](/security-command-center/docs/concepts-vulnerabilities-findings).\n\nView the posture template\n-------------------------\n\n\nTo view the posture template for VPC networking, extended, do the following: \n\n### gcloud\n\n\nBefore using any of the command data below,\nmake the following replacements:\n\n- \u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e: the numeric ID of the organization\n\n\nExecute the\n\n\n[`gcloud scc posture-templates\ndescribe`](/sdk/gcloud/reference/scc/posture-templates/describe)\n\n\ncommand:\n\n#### Linux, macOS, or Cloud Shell\n\n```bash\ngcloud scc posture-templates describe \\\n organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended\n```\n\n#### Windows (PowerShell)\n\n```bash\ngcloud scc posture-templates describe `\n organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended\n```\n\n#### Windows (cmd.exe)\n\n```bash\ngcloud scc posture-templates describe ^\n organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended\n```\n\nThe response contains the posture template.\n\n### REST\n\n\nBefore using any of the request data,\nmake the following replacements:\n\n- \u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e: the numeric ID of the organization\n\n\nHTTP method and URL:\n\n```\nGET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended\n```\n\nTo send your request, expand one of these options:\n\n#### curl (Linux, macOS, or Cloud Shell)\n\n| **Note:** The following command assumes that you have logged in to the `gcloud` CLI with your user account by running [`gcloud init`](/sdk/gcloud/reference/init) or [`gcloud auth login`](/sdk/gcloud/reference/auth/login) , or by using [Cloud Shell](/shell/docs), which automatically logs you into the `gcloud` CLI . You can check the currently active account by running [`gcloud auth list`](/sdk/gcloud/reference/auth/list).\n\n\nExecute the following command:\n\n```\ncurl -X GET \\\n -H \"Authorization: Bearer $(gcloud auth print-access-token)\" \\\n \"https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended\"\n```\n\n#### PowerShell (Windows)\n\n| **Note:** The following command assumes that you have logged in to the `gcloud` CLI with your user account by running [`gcloud init`](/sdk/gcloud/reference/init) or [`gcloud auth login`](/sdk/gcloud/reference/auth/login) . You can check the currently active account by running [`gcloud auth list`](/sdk/gcloud/reference/auth/list).\n\n\nExecute the following command:\n\n```\n$cred = gcloud auth print-access-token\n$headers = @{ \"Authorization\" = \"Bearer $cred\" }\n\nInvoke-WebRequest `\n -Method GET `\n -Headers $headers `\n -Uri \"https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended\" | Select-Object -Expand Content\n```\n\nThe response contains the posture template.\n\nWhat's next\n-----------\n\n- [Create a security posture using this predefined posture](/security-command-center/docs/how-to-use-security-posture)."]]
