Postur standar untuk jaringan VPC, diperluas

Halaman ini menjelaskan kebijakan preventif dan detektif yang disertakan dalam versi v.1.0 dari postur bawaan untuk Virtual Private Cloud (VPC) jaringan, diperluas. Postur ini mencakup dua set kebijakan:

  • Kumpulan kebijakan yang mencakup batasan kebijakan organisasi yang berlaku untuk jaringan VPC.

  • Kumpulan kebijakan yang menyertakan pendeteksi Security Health Analytics yang berlaku untuk jaringan VPC.

Anda dapat menggunakan postur yang telah ditentukan ini untuk mengonfigurasi postur keamanan yang membantu melindungi jaringan VPC. Jika Anda ingin men-deploy aplikasi standar Anda harus menyesuaikan beberapa kebijakan agar berlaku untuk lingkungan fleksibel App Engine.

Batasan kebijakan organisasi

Tabel berikut menjelaskan batasan kebijakan organisasi yang termasuk dalam postur ini.

Kebijakan Deskripsi Standar kepatuhan
compute.skipDefaultNetworkCreation

Batasan boolean ini menonaktifkan pembuatan otomatis default Jaringan VPC dan aturan firewall default dalam setiap project baru, aturan jaringan dan firewall secara sengaja dibuat.

Nilainya adalah true untuk menghindari pembuatan jaringan VPC default.

 Kontrol NIST SP 800-53: SC-7 dan SC-8
ainotebooks.restrictPublicIp

Batasan boolean ini membatasi akses IP publik ke file yang baru dibuat Notebook dan instance Vertex AI Workbench. Secara default, IP publik dapat mengakses notebook dan instance Vertex AI Workbench.

Nilainya adalah true untuk membatasi akses IP publik pada Notebook dan instance Vertex AI Workbench.

 Kontrol NIST SP 800-53: SC-7 dan SC-8
compute.disableNestedVirtualization

Batasan boolean ini menonaktifkan virtualisasi bertingkat untuk semua VM Compute Engine untuk mengurangi risiko keamanan terkait aplikasi yang tidak dipantau instance bertingkat.

Nilainya adalah true untuk menonaktifkan VM bertingkat virtualisasi.

 Kontrol NIST SP 800-53: SC-7 dan SC-8
compute.vmExternalIpAccess

Batasan daftar ini menentukan instance VM Compute Engine yang diizinkan untuk menggunakan alamat IP eksternal. Secara default, semua instance VM diizinkan menggunakan alamat IP eksternal. Batasannya menggunakan format projects/PROJECT_ID/zones/ZONE/instances/INSTANCE.

Anda harus mengonfigurasi nilai ini bila mengadopsi postur tubuh.

 Kontrol NIST SP 800-53: SC-7 dan SC-8
ainotebooks.restrictVpcNetworks

Batasan daftar ini menentukan jaringan VPC yang dapat digunakan pengguna pilih saat membuat instance Vertex AI Workbench baru di mana batasan tersebut diterapkan.

Anda harus mengonfigurasi nilai ini bila mengadopsi postur tubuh.

 Kontrol NIST SP 800-53: SC-7 dan SC-8
compute.vmCanIpForward

Batasan daftar ini menentukan jaringan VPC yang yang dapat dipilih pengguna saat membuat instance Vertex AI Workbench baru. Menurut default, Anda dapat membuat instance Vertex AI Workbench dengan Jaringan VPC.

Anda harus mengonfigurasi nilai ini bila mengadopsi postur tubuh.

 Kontrol NIST SP 800-53: SC-7 dan SC-8

Pendeteksi Security Health Analytics

Tabel berikut menjelaskan pendeteksi Security Health Analytics yang disertakan dalam postur yang telah ditentukan. Untuk informasi selengkapnya tentang pendeteksi ini, lihat Temuan kerentanan.

Nama pendeteksi Deskripsi
FIREWALL_NOT_MONITORED

Pendeteksi ini memeriksa apakah pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan aturan firewall VPC.
NETWORK_NOT_MONITORED

Pendeteksi ini memeriksa apakah pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan jaringan VPC.
ROUTE_NOT_MONITORED

Pendeteksi ini memeriksa apakah pemberitahuan dan metrik log tidak dikonfigurasi untuk memantau perubahan rute jaringan VPC.
DNS_LOGGING_DISABLED

Pendeteksi ini memeriksa apakah logging DNS diaktifkan pada jaringan VPC atau tidak.
FLOW_LOGS_DISABLED

Pendeteksi ini memeriksa apakah log aliran diaktifkan di subnetwork VPC.
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Pendeteksi ini memeriksa apakah properti enableFlowLogs dari subnetwork VPC tidak ada atau disetel ke false.

Melihat template postur

Agar dapat melihat template postur untuk jaringan VPC yang diperluas, lakukan tindakan berikut:

gcloud

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi

Jalankan gcloud scc posture-templates describe berikut:

Linux, macOS, atau Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Respons akan berisi template postur.

REST

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi

Metode HTTP dan URL: 

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons akan berisi template postur.

Langkah selanjutnya