Halaman ini diterjemahkan oleh Cloud Translation API.

Postur yang telah ditentukan sebelumnya untuk jaringan VPC, diperluas

Halaman ini menjelaskan kebijakan pencegahan dan deteksi yang disertakan dalam versi 1.0 postur keamanan yang telah ditentukan sebelumnya untuk jaringan Virtual Private Cloud (VPC), yang diperluas. Postur ini mencakup dua set kebijakan:

Kumpulan kebijakan yang mencakup batasan kebijakan organisasi yang berlaku untuk jaringan VPC.
Kumpulan kebijakan yang mencakup detektor Security Health Analytics yang berlaku untuk jaringan VPC.

Anda dapat menggunakan postur yang telah ditentukan sebelumnya ini untuk mengonfigurasi postur keamanan yang membantu melindungi jaringan VPC. Jika ingin men-deploy postur yang telah ditentukan sebelumnya ini, Anda harus menyesuaikan beberapa kebijakan agar berlaku untuk lingkungan Anda.

Batasan kebijakan organisasi

Tabel berikut menjelaskan batasan kebijakan organisasi yang disertakan dalam postur ini.

Kebijakan	Deskripsi	Standar kepatuhan
`compute.skipDefaultNetworkCreation`	Batasan boolean ini menonaktifkan pembuatan otomatis jaringan VPC default dan aturan firewall default di setiap project baru, sehingga memastikan bahwa jaringan dan aturan firewall dibuat secara sengaja. Nilainya adalah `true` untuk menghindari pembuatan jaringan VPC default.	Kontrol NIST SP 800-53: SC-7 dan SC-8
`ainotebooks.restrictPublicIp`	Batasan boolean ini membatasi akses IP publik ke notebook dan instance Vertex AI Workbench yang baru dibuat. Secara default, alamat IP publik dapat mengakses notebook dan instance Vertex AI Workbench. Nilainya adalah `true` untuk membatasi akses IP publik di notebook dan instance Vertex AI Workbench yang baru.	Kontrol NIST SP 800-53: SC-7 dan SC-8
`compute.disableNestedVirtualization`	Batasan boolean ini menonaktifkan virtualisasi bertingkat untuk semua VM Compute Engine guna mengurangi risiko keamanan yang terkait dengan instance bertingkat yang tidak dipantau. Nilainya adalah `true` untuk menonaktifkan virtualisasi bertingkat VM.	Kontrol NIST SP 800-53: SC-7 dan SC-8
`compute.vmExternalIpAccess`	Batasan daftar ini menentukan instance VM Compute Engine yang diizinkan untuk menggunakan alamat IP eksternal. Secara default, semua instance VM diizinkan untuk menggunakan alamat IP eksternal. Batasan menggunakan format `projects/PROJECT_ID/zones/ZONE/instances/INSTANCE`. Anda harus mengonfigurasi nilai ini saat menerapkan postur yang telah ditentukan sebelumnya ini.	Kontrol NIST SP 800-53: SC-7 dan SC-8
`ainotebooks.restrictVpcNetworks`	Batasan daftar ini menentukan jaringan VPC yang dapat dipilih pengguna saat membuat instance Vertex AI Workbench baru tempat batasan ini diterapkan. Anda harus mengonfigurasi nilai ini saat menerapkan postur yang telah ditentukan sebelumnya ini.	Kontrol NIST SP 800-53: SC-7 dan SC-8
`compute.vmCanIpForward`	Batasan daftar ini menentukan jaringan VPC yang dapat dipilih pengguna saat membuat instance Vertex AI Workbench baru. Secara default, Anda dapat membuat instance Vertex AI Workbench dengan jaringan VPC apa pun. Anda harus mengonfigurasi nilai ini saat menerapkan postur yang telah ditentukan sebelumnya ini.	Kontrol NIST SP 800-53: SC-7 dan SC-8

Detektor Security Health Analytics

Tabel berikut menjelaskan detektor Security Health Analytics yang disertakan dalam postur keamanan yang telah ditentukan. Untuk mengetahui informasi selengkapnya tentang detektor ini, lihat Temuan kerentanan.

Nama pendeteksi	Deskripsi
`FIREWALL_NOT_MONITORED`	Detektor ini memeriksa apakah metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan aturan firewall VPC.
`NETWORK_NOT_MONITORED`	Detektor ini memeriksa apakah metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan jaringan VPC.
`ROUTE_NOT_MONITORED`	Detektor ini memeriksa apakah metrik log dan pemberitahuan tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC.
`DNS_LOGGING_DISABLED`	Detektor ini memeriksa apakah logging DNS diaktifkan di jaringan VPC.
`FLOW_LOGS_DISABLED`	Detektor ini memeriksa apakah log alur diaktifkan di subnetwork VPC.
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	Detektor ini memeriksa apakah properti `enableFlowLogs` pada subnetwork VPC tidak ada atau disetel ke `false`.

Melihat template postur

Untuk melihat template postur untuk jejaring VPC, diperluas, lakukan hal berikut:

gcloud

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

ORGANIZATION_ID: ID numerik organisasi

Jalankan perintah gcloud scc posture-templates describe:

Linux, macOS, atau Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Respons berisi template postur.

REST

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

ORGANIZATION_ID: ID numerik organisasi

Metode HTTP dan URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI menggunakan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login , atau dengan menggunakan Cloud Shell, yang secara otomatis membuat Anda login ke gcloud CLI . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended"

PowerShell (Windows)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI menggunakan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended" | Select-Object -Expand Content

Respons berisi template postur.

Langkah berikutnya

Buat postur keamanan menggunakan postur standar ini.

Postur yang telah ditentukan sebelumnya untuk jaringan VPC, diperluas Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Batasan kebijakan organisasi

Detektor Security Health Analytics

Melihat template postur

gcloud

Linux, macOS, atau Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS, atau Cloud Shell)

PowerShell (Windows)

Langkah berikutnya

Postur yang telah ditentukan sebelumnya untuk jaringan VPC, diperluas