Postura predefinida para rede VPC, estendida

Esta página descreve as políticas preventivas e de detecção incluídas no a versão v.1.0 da postura predefinida para a nuvem privada virtual (VPC) rede, estendida. Essa postura inclui dois conjuntos de políticas:

  • Um conjunto de políticas que inclui restrições de políticas da organização que se aplicam redes VPC.

  • Um conjunto de políticas que inclui detectores da Análise de integridade da segurança aplicáveis a redes VPC.

É possível usar essa postura predefinida para configurar uma postura de segurança que ajuda a proteger a rede VPC. Se você quiser implantar essa postura predefinida, será necessário personalizar algumas das políticas para que elas sejam aplicadas ao ambiente.

Restrições da política da organização

A tabela a seguir descreve as restrições das políticas da organização incluídos nessa postura.

Política Descrição Padrão de conformidade
compute.skipDefaultNetworkCreation

Essa restrição booleana desativa a criação automática de uma rede VPC padrão e regras de firewall padrão em cada novo projeto, garantindo que as regras de rede e de firewall sejam criadas intencionalmente.

O valor é true para evitar a criação da rede VPC padrão.

 Controle NIST SP 800-53: SC-7 e SC-8
ainotebooks.restrictPublicIp

Esta restrição booleana limita o acesso de IP público a usuários recém-criados Notebooks e instâncias do Vertex AI Workbench. Por padrão, os IPs públicos podem acessar os notebooks e as instâncias do Vertex AI Workbench.

O valor é true para restringir o acesso de IPs públicos em novos notebooks e instâncias do Vertex AI Workbench.

 Controle NIST SP 800-53: SC-7 e SC-8
compute.disableNestedVirtualization

Essa restrição booleana desativa a virtualização aninhada para todas as VMs do Compute Engine para diminuir o risco de segurança relacionado a instâncias aninhadas não monitoradas.

O valor é true para desativar a virtualização aninhada da VM.

 Controle NIST SP 800-53: SC-7 e SC-8
compute.vmExternalIpAccess

Esta restrição de lista define as instâncias de VM do Compute Engine podem usar endereços IP externo. Por padrão, todas as instâncias de VM podem usar endereços IP externos. A restrição usa o formato projects/PROJECT_ID/zones/ZONE/instances/INSTANCE.

Você precisa configurar esse valor ao adotar essa postura predefinida.

 Controle NIST SP 800-53: SC-7 e SC-8
ainotebooks.restrictVpcNetworks

Esta restrição de lista define as redes VPC que um usuário pode selecione ao criar novas instâncias do Vertex AI Workbench em que uma restrição seja aplicada.

Você precisa configurar esse valor ao adotar essa postura predefinida.

 Controle NIST SP 800-53: SC-7 e SC-8
compute.vmCanIpForward

Esta restrição de lista define as redes VPC que um usuário pode selecionar ao criar novas instâncias do Vertex AI Workbench. Por padrão, é possível criar uma instância do Vertex AI Workbench com qualquer rede VPC.

É necessário configurar esse valor ao adotar essa de uma postura avançada de segurança na nuvem.

 Controle NIST SP 800-53: SC-7 e SC-8

Detectores do Security Health Analytics

A tabela a seguir descreve os detectores da Security Health Analytics incluídos na postura predefinida. Para mais informações sobre esses detectores, consulte Descobertas de vulnerabilidades.

Nome do detector Descrição
FIREWALL_NOT_MONITORED

Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as alterações nas regras de firewall da VPC.
NETWORK_NOT_MONITORED

Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar alterações de rede VPC.
ROUTE_NOT_MONITORED

Este detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as alterações na rota da rede VPC.
DNS_LOGGING_DISABLED

Esse detector verifica se a geração de registros de DNS está ativada na rede VPC.
FLOW_LOGS_DISABLED

Esse detector verifica se os registros de fluxo estão ativados na sub-rede da VPC.
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Este detector verifica se a propriedade enableFlowLogs das sub-redes VPC está ausente ou definida como false.

Conferir o modelo de postura

Para conferir o modelo de postura da rede VPC, estendido, faça o seguinte:

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORGANIZATION_ID: o ID numérico da organização

Execute o gcloud scc posture-templates describe comando:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

A resposta contém o modelo de postura.

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL: 

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Para enviar a solicitação, expanda uma destas opções:

A resposta contém o modelo de postura.

A seguir