Esta página se ha traducido con Cloud Translation API.

Postura predefinida para redes de VPC, ampliada

En esta página se describen las políticas preventivas y de detección que se incluyen en la versión 1.0 de la postura predefinida para las redes de nube privada virtual (VPC) ampliada. Esta postura incluye dos conjuntos de políticas:

Un conjunto de políticas que incluye restricciones de políticas de organización que se aplican a las redes de VPC.
Un conjunto de políticas que incluye detectores de Security Health Analytics que se aplican a las redes VPC.

Puedes usar esta postura predefinida para configurar una postura de seguridad que ayude a proteger las redes VPC. Si quieres implementar esta postura predefinida, debes personalizar algunas de las políticas para que se apliquen a tu entorno.

Restricciones de las políticas de organización

En la siguiente tabla se describen las restricciones de las políticas de la organización que se incluyen en esta postura.

Política	Descripción	Estándar de cumplimiento
`compute.skipDefaultNetworkCreation`	Esta restricción booleana inhabilita la creación automática de una red de VPC predeterminada y de reglas de cortafuegos predeterminadas en cada proyecto nuevo, lo que asegura que las redes y las reglas de cortafuegos se creen de forma intencionada. El valor es `true` para evitar crear la red de VPC predeterminada.	Control NIST SP 800-53: SC-7 y SC-8
`ainotebooks.restrictPublicIp`	Esta restricción booleana restringe el acceso a IP públicas a los cuadernos e instancias de Vertex AI Workbench recién creados. De forma predeterminada, las direcciones IP públicas pueden acceder a los notebooks y las instancias de Vertex AI Workbench. El valor es `true` para restringir el acceso a IP públicas en los nuevos cuadernos e instancias de Vertex AI Workbench.	Control NIST SP 800-53: SC-7 y SC-8
`compute.disableNestedVirtualization`	Esta restricción booleana inhabilita la virtualización anidada en todas las VMs de Compute Engine para reducir el riesgo de seguridad relacionado con las instancias anidadas no monitorizadas. El valor es `true` para desactivar la virtualización anidada de la máquina virtual.	Control NIST SP 800-53: SC-7 y SC-8
`compute.vmExternalIpAccess`	La restricción de esta lista define las instancias de VM de Compute Engine que pueden usar direcciones IP externas. De forma predeterminada, todas las instancias de VM pueden usar direcciones IP externas. La restricción usa el formato `projects/PROJECT_ID/zones/ZONE/instances/INSTANCE`. Debes configurar este valor cuando adoptes esta postura predefinida.	Control NIST SP 800-53: SC-7 y SC-8
`ainotebooks.restrictVpcNetworks`	La restricción de esta lista define las redes de VPC que puede seleccionar un usuario al crear instancias de Vertex AI Workbench en las que se aplique esta restricción. Debes configurar este valor cuando adoptes esta postura predefinida.	Control NIST SP 800-53: SC-7 y SC-8
`compute.vmCanIpForward`	La restricción de esta lista define las redes de VPC que puede seleccionar un usuario al crear instancias de Vertex AI Workbench. De forma predeterminada, puedes crear una instancia de Vertex AI Workbench con cualquier red de VPC. Debes configurar este valor cuando adoptes esta postura predefinida.	Control NIST SP 800-53: SC-7 y SC-8

Detectores de Security Health Analytics

En la siguiente tabla se describen los detectores de Security Health Analytics que se incluyen en la postura predefinida. Para obtener más información sobre estos detectores, consulta Resultados de vulnerabilidades.

Nombre del detector	Descripción
`FIREWALL_NOT_MONITORED`	Este detector comprueba si las métricas de registro y las alertas no están configuradas para monitorizar los cambios en las reglas de cortafuegos de VPC.
`NETWORK_NOT_MONITORED`	Este detector comprueba si las métricas de registro y las alertas no están configuradas para monitorizar los cambios en la red de VPC.
`ROUTE_NOT_MONITORED`	Este detector comprueba si las métricas de registro y las alertas no están configuradas para monitorizar los cambios en las rutas de la red de VPC.
`DNS_LOGGING_DISABLED`	Este detector comprueba si el registro de DNS está habilitado en la red de VPC.
`FLOW_LOGS_DISABLED`	Este detector comprueba si los registros de flujo están habilitados en la subred de la VPC.
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	Este detector comprueba si falta la propiedad `enableFlowLogs` de las subredes de VPC o si se ha definido como `false`.

Ver la plantilla de postura

Para ver la plantilla de postura de la red de VPC ampliada, haga lo siguiente:

gcloud

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

ORGANIZATION_ID: el ID numérico de la organización

Ejecuta el comando gcloud scc posture-templates describe:

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

La respuesta contiene la plantilla de postura.

REST

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

ORGANIZATION_ID: el ID numérico de la organización

Método HTTP y URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Para enviar tu solicitud, despliega una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: En el siguiente comando se presupone que has iniciado sesión en la CLI de gcloud con tu cuenta de usuario ejecutando gcloud init o gcloud auth login , o bien usando Cloud Shell, que inicia sesión automáticamente en la CLI de gcloud . Para comprobar qué cuenta está activa, ejecuta gcloud auth list.

Ejecuta el comando siguiente:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended"

PowerShell (Windows)

Nota: El siguiente comando presupone que has iniciado sesión en la CLI de gcloud con tu cuenta de usuario ejecutando gcloud init o gcloud auth login . Para comprobar qué cuenta está activa, ejecuta gcloud auth list.

Ejecuta el comando siguiente:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended" | Select-Object -Expand Content

La respuesta contiene la plantilla de postura.

Siguientes pasos

Crea una postura de seguridad con esta postura predefinida.

Postura predefinida para redes de VPC, ampliada Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Restricciones de las políticas de organización

Detectores de Security Health Analytics

Ver la plantilla de postura

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

Siguientes pasos

Postura predefinida para redes de VPC, ampliada