Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Esta página descreve as políticas preventivas e de detecção incluídas na versão 1.0 da postura predefinida para redes de nuvem privada virtual (VPC), estendida. Essa postura inclui dois conjuntos de políticas:
Um conjunto de políticas que inclui restrições de política da organização aplicáveis à rede VPC.
Um conjunto de políticas que inclui detectores do Security Health Analytics aplicáveis à rede VPC.
É possível usar essa postura predefinida para configurar uma postura de segurança que ajuda a proteger a rede VPC. Se você quiser implantar essa postura predefinida, personalize algumas das políticas para que elas se apliquem ao seu ambiente.
Restrições da política da organização
A tabela a seguir descreve as restrições da política da organização incluídas nessa postura.
Política
Descrição
Padrão de conformidade
compute.skipDefaultNetworkCreation
Essa restrição booleana desativa a criação automática de uma rede VPC padrão e regras de firewall padrão em cada novo projeto, garantindo que as regras de rede e de firewall sejam criadas intencionalmente.
O valor é true para evitar a criação da rede VPC padrão.
Controle NIST SP 800-53: SC-7 e SC-8
ainotebooks.restrictPublicIp
Essa restrição booleana restringe o acesso de IP público a notebooks e instâncias recém-criados do Vertex AI Workbench. Por padrão, os endereços IP públicos podem acessar notebooks e instâncias do Vertex AI Workbench.
O valor é true para restringir o acesso de IP público em novas instâncias e notebooks do Vertex AI Workbench.
Controle NIST SP 800-53: SC-7 e SC-8
compute.disableNestedVirtualization
Essa restrição booleana desativa a virtualização aninhada para todas as VMs do Compute Engine e diminui o risco de segurança relacionado a instâncias aninhadas não monitoradas.
O valor é true para desativar a virtualização
aninhada da VM.
Controle NIST SP 800-53: SC-7 e SC-8
compute.vmExternalIpAccess
Essa restrição de lista define as instâncias de VM do Compute Engine que podem usar endereços IP externo. Por padrão, todas as instâncias de VM podem usar endereços IP externo. A restrição usa o formato
projects/PROJECT_ID/zones/ZONE/instances/INSTANCE.
Você precisa configurar esse valor ao adotar essa postura predefinida.
Controle NIST SP 800-53: SC-7 e SC-8
ainotebooks.restrictVpcNetworks
Esta restrição de lista define as redes VPC que um usuário pode selecionar ao criar instâncias do Vertex AI Workbench em que essa restrição é aplicada.
Você precisa configurar esse valor ao adotar essa postura predefinida.
Controle NIST SP 800-53: SC-7 e SC-8
compute.vmCanIpForward
Esta restrição de lista define as redes VPC que um usuário pode selecionar ao criar instâncias do Vertex AI Workbench. Por padrão, é possível criar uma instância do Vertex AI Workbench com qualquer rede VPC.
Você precisa configurar esse valor ao adotar essa postura predefinida.
Controle NIST SP 800-53: SC-7 e SC-8
Detectores do Security Health Analytics
A tabela a seguir descreve os detectores do Security Health Analytics incluídos na postura predefinida. Para mais informações sobre esses detectores, consulte
Descobertas de vulnerabilidades.
Nome do detector
Descrição
FIREWALL_NOT_MONITORED
Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as mudanças nas regras do firewall da VPC.
NETWORK_NOT_MONITORED
Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar mudanças na rede VPC.
ROUTE_NOT_MONITORED
Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar mudanças na rota de rede VPC.
DNS_LOGGING_DISABLED
Esse detector verifica se a geração de registros de DNS está ativada na rede VPC.
FLOW_LOGS_DISABLED
Esse detector verifica se os registros de fluxo estão ativados na sub-rede da VPC.
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED
Esse detector verifica se a propriedade enableFlowLogs das sub-redes VPC está ausente ou definida como false.
Ver o modelo de postura
Para conferir o modelo de postura para rede VPC, estendido, faça o seguinte:
gcloud
Antes de usar os dados do comando abaixo, faça estas substituições:
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-21 UTC."],[],[],null,["# Predefined posture for VPC networking, extended\n\n| Premium and Enterprise [service tiers](/security-command-center/docs/service-tiers) (requires [organization-level activation](/security-command-center/docs/activate-scc-overview#overview_of_organization-level_activation))\n\nThis page describes the preventative and detective policies that are included in\nthe v.1.0 version of the predefined posture for Virtual Private Cloud (VPC)\nnetworking, extended. This posture includes two policy sets:\n\n- A policy set that includes organization policy constraints that apply to\n VPC networking.\n\n- A policy set that includes Security Health Analytics detectors that apply to\n VPC networking.\n\nYou can use this predefined posture to configure a security posture that helps\nprotect VPC networking. If you want to deploy this predefined\nposture, you must customize some of the policies so that they apply to your\nenvironment.\n\nOrganization policy constraints\n-------------------------------\n\nThe following table describes the organization policy constraints that are\nincluded in this posture.\n\nSecurity Health Analytics detectors\n-----------------------------------\n\nThe following table describes the Security Health Analytics detectors that are included in\nthe predefined posture. For more information about these detectors, see\n[Vulnerability findings](/security-command-center/docs/concepts-vulnerabilities-findings).\n\nView the posture template\n-------------------------\n\n\nTo view the posture template for VPC networking, extended, do the following: \n\n### gcloud\n\n\nBefore using any of the command data below,\nmake the following replacements:\n\n- \u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e: the numeric ID of the organization\n\n\nExecute the\n\n\n[`gcloud scc posture-templates\ndescribe`](/sdk/gcloud/reference/scc/posture-templates/describe)\n\n\ncommand:\n\n#### Linux, macOS, or Cloud Shell\n\n```bash\ngcloud scc posture-templates describe \\\n organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended\n```\n\n#### Windows (PowerShell)\n\n```bash\ngcloud scc posture-templates describe `\n organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended\n```\n\n#### Windows (cmd.exe)\n\n```bash\ngcloud scc posture-templates describe ^\n organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended\n```\n\nThe response contains the posture template.\n\n### REST\n\n\nBefore using any of the request data,\nmake the following replacements:\n\n- \u003cvar translate=\"no\"\u003eORGANIZATION_ID\u003c/var\u003e: the numeric ID of the organization\n\n\nHTTP method and URL:\n\n```\nGET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended\n```\n\nTo send your request, expand one of these options:\n\n#### curl (Linux, macOS, or Cloud Shell)\n\n| **Note:** The following command assumes that you have logged in to the `gcloud` CLI with your user account by running [`gcloud init`](/sdk/gcloud/reference/init) or [`gcloud auth login`](/sdk/gcloud/reference/auth/login) , or by using [Cloud Shell](/shell/docs), which automatically logs you into the `gcloud` CLI . You can check the currently active account by running [`gcloud auth list`](/sdk/gcloud/reference/auth/list).\n\n\nExecute the following command:\n\n```\ncurl -X GET \\\n -H \"Authorization: Bearer $(gcloud auth print-access-token)\" \\\n \"https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended\"\n```\n\n#### PowerShell (Windows)\n\n| **Note:** The following command assumes that you have logged in to the `gcloud` CLI with your user account by running [`gcloud init`](/sdk/gcloud/reference/init) or [`gcloud auth login`](/sdk/gcloud/reference/auth/login) . You can check the currently active account by running [`gcloud auth list`](/sdk/gcloud/reference/auth/list).\n\n\nExecute the following command:\n\n```\n$cred = gcloud auth print-access-token\n$headers = @{ \"Authorization\" = \"Bearer $cred\" }\n\nInvoke-WebRequest `\n -Method GET `\n -Headers $headers `\n -Uri \"https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended\" | Select-Object -Expand Content\n```\n\nThe response contains the posture template.\n\nWhat's next\n-----------\n\n- [Create a security posture using this predefined posture](/security-command-center/docs/how-to-use-security-posture)."]]