Posture prédéfinie pour la mise en réseau VPC, étendue

Cette page décrit les règles préventives et détectives incluses dans la version 1.0 de la posture prédéfinie pour la mise en réseau de cloud privé virtuel (VPC, Virtual Private Cloud), étendue. Cette posture comprend deux ensembles de règles:

  • Ensemble de règles qui inclut des contraintes de règles d'administration qui s'appliquent à la mise en réseau VPC.

  • Ensemble de règles qui inclut des détecteurs Security Health Analytics qui s'appliquent à la mise en réseau VPC.

Vous pouvez utiliser cette posture prédéfinie pour configurer une posture de sécurité qui aide à protéger la mise en réseau VPC. Si vous souhaitez déployer cette posture prédéfinie, vous devez personnaliser certaines des règles afin qu'elles s'appliquent à votre environnement.

Contraintes liées aux règles d'administration

Le tableau suivant décrit les contraintes liées aux règles d'administration incluses dans cette posture.

Règle Description Norme de conformité
compute.skipDefaultNetworkCreation

Cette contrainte booléenne désactive la création automatique d'un réseau VPC par défaut et de règles de pare-feu par défaut dans chaque nouveau projet, ce qui garantit que les règles de réseau et de pare-feu sont créées intentionnellement.

La valeur est true pour éviter de créer le réseau VPC par défaut.

 Contrôle NIST SP 800-53: SC-7 et SC-8
ainotebooks.restrictPublicIp

Cette contrainte booléenne limite l'accès depuis des adresses IP publiques aux instances et notebooks Vertex AI Workbench nouvellement créés. Par défaut, les adresses IP publiques peuvent accéder aux instances et notebooks Vertex AI Workbench.

La valeur est true pour limiter l'accès des adresses IP publiques sur les nouveaux notebooks et instances Vertex AI Workbench.

 Contrôle NIST SP 800-53: SC-7 et SC-8
compute.disableNestedVirtualization

Cette contrainte booléenne désactive la virtualisation imbriquée pour toutes les VM Compute Engine afin de réduire le risque de sécurité lié aux instances imbriquées non surveillées.

La valeur est true pour désactiver la virtualisation imbriquée de la VM.

 Contrôle NIST SP 800-53: SC-7 et SC-8
compute.vmExternalIpAccess

Cette contrainte de liste définit les instances de VM Compute Engine autorisées à utiliser des adresses IP externes. Par défaut, toutes les instances de VM sont autorisées à utiliser des adresses IP externes. La contrainte utilise le format projects/PROJECT_ID/zones/ZONE/instances/INSTANCE.

Vous devez configurer cette valeur lorsque vous adoptez cette posture prédéfinie.

 Contrôle NIST SP 800-53: SC-7 et SC-8
ainotebooks.restrictVpcNetworks

Cette contrainte de liste définit les réseaux VPC qu'un utilisateur peut sélectionner lorsqu'il crée des instances Vertex AI Workbench là où cette contrainte est appliquée.

Vous devez configurer cette valeur lorsque vous adoptez cette posture prédéfinie.

 Contrôle NIST SP 800-53: SC-7 et SC-8
compute.vmCanIpForward

Cette contrainte de liste définit les réseaux VPC qu'un utilisateur peut sélectionner lorsqu'il crée des instances Vertex AI Workbench. Par défaut, vous pouvez créer une instance Vertex AI Workbench dans n'importe quel réseau VPC.

Vous devez configurer cette valeur lorsque vous adoptez cette posture prédéfinie.

 Contrôle NIST SP 800-53: SC-7 et SC-8

Détecteurs Security Health Analytics

Le tableau suivant décrit les détecteurs Security Health Analytics inclus dans l'état prédéfini. Pour en savoir plus sur ces détecteurs, consultez la page Résultats concernant les failles.

Nom du détecteur Description
FIREWALL_NOT_MONITORED

Ce détecteur vérifie si les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées aux règles de pare-feu de réseau VPC.
NETWORK_NOT_MONITORED

Ce détecteur vérifie si les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au réseau VPC.
ROUTE_NOT_MONITORED

Ce détecteur vérifie si les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la route de réseau VPC.
DNS_LOGGING_DISABLED

Ce détecteur vérifie si la journalisation DNS est activée sur le réseau VPC.
FLOW_LOGS_DISABLED

Ce détecteur vérifie si les journaux de flux sont activés sur le sous-réseau VPC.
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Ce détecteur vérifie si la propriété enableFlowLogs des sous-réseaux VPC est manquante ou définie sur false.

Afficher le modèle de posture

Pour afficher le modèle d'évaluation de la conformité pour la mise en réseau VPC, procédez comme suit:

gcloud

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • ORGANIZATION_ID: ID numérique de l'organisation

Exécutez la commande gcloud scc posture-templates describe:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

La réponse contient le modèle de posture.

REST

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

  • ORGANIZATION_ID: ID numérique de l'organisation

Méthode HTTP et URL : 

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Pour envoyer votre requête, développez l'une des options suivantes :

La réponse contient le modèle de posture.

Étape suivante