此页面由 Cloud Translation API 翻译。

适用于 VPC 网络的预定义状态（已扩展）

本页面介绍了 Virtual Private Cloud (VPC) 网络扩展版预定义安全态势 v.1.0 中包含的预防性政策和检测性政策。此姿态包含两组政策：

包含适用于 VPC 网络功能的组织政策限制条件的政策集。
包含适用于 VPC 网络的安全运行状况分析检测器的政策集。

您可以使用此预定义的安全状况来配置有助于保护 VPC 网络的安全状况。如果您想部署此预定义姿势，则必须自定义一些政策，以便它们适用于您的环境。

组织政策限制条件

下表介绍了此姿态中包含的组织政策限制条件。

政策	说明	合规标准
`compute.skipDefaultNetworkCreation`	此布尔值限制条件会停用在每个新项目中自动创建默认 VPC 网络和默认防火墙规则的功能，从而确保网络和防火墙规则是故意创建的。该值为 `true`，以避免创建默认 VPC 网络。	NIST SP 800-53 控制措施：SC-7 和 SC-8
`ainotebooks.restrictPublicIp`	此布尔值限制条件会限制公共 IP 对新创建的 Vertex AI Workbench 笔记本和实例的访问权限。默认情况下，公共 IP 地址可以访问 Vertex AI Workbench 笔记本和实例。值为 `true` 时，表示限制对新的 Vertex AI Workbench 笔记本和实例的公共 IP 访问权限。	NIST SP 800-53 控制措施：SC-7 和 SC-8
`compute.disableNestedVirtualization`	此布尔值限制条件会针对所有 Compute Engine 虚拟机停用嵌套虚拟化功能，以降低与不受监控的嵌套实例相关的安全风险。值为 `true` 时，表示关闭虚拟机嵌套虚拟化。	NIST SP 800-53 控制措施：SC-7 和 SC-8
`compute.vmExternalIpAccess`	此列表限制条件定义了允许使用外部 IP 地址的 Compute Engine 虚拟机实例。默认情况下，所有虚拟机实例都可以使用外部 IP 地址。该限制条件采用 `projects/PROJECT_ID/zones/ZONE/instances/INSTANCE` 格式。采用此预定义姿势时，您必须配置此值。	NIST SP 800-53 控制措施：SC-7 和 SC-8
`ainotebooks.restrictVpcNetworks`	此列表限制条件定义了在强制执行此限制条件后，用户在创建新的 Vertex AI Workbench 实例时可以选择的 VPC 网络。采用此预定义姿势时，您必须配置此值。	NIST SP 800-53 控制措施：SC-7 和 SC-8
`compute.vmCanIpForward`	此列表限制条件定义了用户在创建新的 Vertex AI Workbench 实例时可以选择的 VPC 网络。默认情况下，您可以使用任何 VPC 网络创建 Vertex AI Workbench 实例。采用此预定义姿势时，您必须配置此值。	NIST SP 800-53 控制措施：SC-7 和 SC-8

Security Health Analytics 检测器

下表介绍了预定义安全状况中包含的 Security Health Analytics 检测器。如需详细了解这些检测器，请参阅漏洞发现结果。

检测器名称	说明
`FIREWALL_NOT_MONITORED`	此检测器会检查日志指标和提醒是否未配置为监控 VPC 防火墙规则更改。
`NETWORK_NOT_MONITORED`	此检测器用于检查日志指标和提醒是否未配置为监控 VPC 网络更改。
`ROUTE_NOT_MONITORED`	此检测器会检查日志指标和提醒是否未配置为监控 VPC 网络路由更改。
`DNS_LOGGING_DISABLED`	此检测器会检查 VPC 网络上是否已启用 DNS 日志记录。
`FLOW_LOGS_DISABLED`	此检测器会检查 VPC 子网是否已启用流日志。
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	此检测器会检查 VPC 子网的 `enableFlowLogs` 属性是否缺失或设置为 `false`。

查看姿态模板

如需查看 VPC 网络（扩展）的姿态模板，请执行以下操作：

gcloud

在使用下面的命令数据之前，请先进行以下替换：

ORGANIZATION_ID：组织的数字 ID

执行 gcloud scc posture-templates describe 命令：

Linux、macOS 或 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

响应包含姿势模板。

REST

在使用任何请求数据之前，请先进行以下替换：

ORGANIZATION_ID：组织的数字 ID

HTTP 方法和网址：

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

如需发送您的请求，请展开以下选项之一：

curl（Linux、macOS 或 Cloud Shell）

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI，或者使用了 Cloud Shell，这会使您自动登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

执行以下命令：

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended"

PowerShell (Windows)

注意：以下命令假定您已使用您的用户账号通过运行 gcloud init 或 gcloud auth login 登录 gcloud CLI。您可以运行 gcloud auth list 来检查当前活跃的账号。

执行以下命令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended" | Select-Object -Expand Content

响应包含姿势模板。

后续步骤

使用此预定义安全状况创建安全状况。

适用于 VPC 网络的预定义状态（已扩展） 使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

组织政策限制条件

Security Health Analytics 检测器

查看姿态模板

gcloud

Linux、macOS 或 Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl（Linux、macOS 或 Cloud Shell）

PowerShell (Windows)

后续步骤

适用于 VPC 网络的预定义状态（已扩展）