本頁說明虛擬私有雲 (VPC) 網路擴充預先定義安全狀況 1.0 版中包含的預防和偵測政策。這項防護機制包含兩個政策組合:
政策集,包含適用於 VPC 網路的機構政策限制。
政策集,內含適用於 VPC 網路的安全狀態分析偵測工具。
您可以使用這項預先定義的狀態,設定有助於保護虛擬私有雲網路的安全性狀態。如要部署這項預先定義的狀態,您必須自訂部分政策,使其適用於您的環境。
機構政策限制
下表說明這項狀態包含的機構政策限制。
政策 | 說明 | 法規遵循標準 |
---|---|---|
compute.skipDefaultNetworkCreation |
這項布林限制會禁止在每個新專案中自動建立預設 VPC 網路和預設防火牆規則,確保網路和防火牆規則是刻意建立的。 值為 |
NIST SP 800-53 控制措施:SC-7 和 SC-8 |
ainotebooks.restrictPublicIp |
這項布林值限制會限制公開 IP 對新建立的 Vertex AI Workbench 筆記本和執行個體的存取權。根據預設,公開 IP 位址可存取 Vertex AI Workbench 筆記本和執行個體。 值為 |
NIST SP 800-53 控制措施:SC-7 和 SC-8 |
compute.disableNestedVirtualization |
這項布林限制會停用所有 Compute Engine VM 的巢狀虛擬化功能,以降低未受監控的巢狀執行個體帶來的安全性風險。 值為 |
NIST SP 800-53 控制措施:SC-7 和 SC-8 |
compute.vmExternalIpAccess |
這項清單限制會定義可使用外部 IP 位址的 Compute Engine VM 執行個體。根據預設,所有 VM 執行個體皆可使用外部 IP 位址。限制條件採用 採用這項預先定義的狀態時,您必須設定這個值。 |
NIST SP 800-53 控制措施:SC-7 和 SC-8 |
ainotebooks.restrictVpcNetworks |
這項清單限制定義了在強制執行這項限制後,使用者在建立新的 Vertex AI Workbench 執行個體時,可選擇的虛擬私有雲網路。 採用這項預先定義的狀態時,您必須設定這個值。 |
NIST SP 800-53 控制措施:SC-7 和 SC-8 |
compute.vmCanIpForward |
這項清單限制定義了使用者在建立新的 Vertex AI Workbench 執行個體時,可選擇的虛擬私有雲網路。根據預設,您可以使用任何虛擬私有雲網路建立 Vertex AI Workbench 執行個體。 採用這項預先定義的狀態時,您必須設定這個值。 |
NIST SP 800-53 控制措施:SC-7 和 SC-8 |
安全狀態分析偵測工具
下表說明預先定義狀態中包含的安全性狀態分析偵測器。如要進一步瞭解這些偵測器,請參閱「安全漏洞發現」。
偵測工具名稱 | 說明 |
---|---|
FIREWALL_NOT_MONITORED |
這個偵測器會檢查記錄指標和快訊是否未設定為監控虛擬私有雲防火牆規則變更。 |
NETWORK_NOT_MONITORED |
這個偵測器會檢查記錄指標和快訊是否未設定為監控虛擬私有雲網路變更。 |
ROUTE_NOT_MONITORED |
這個偵測器會檢查記錄指標和快訊是否未設定為監控虛擬私有雲網路路徑變更。 |
DNS_LOGGING_DISABLED |
這個偵測器會檢查虛擬私有雲網路是否已啟用 DNS 記錄功能。 |
FLOW_LOGS_DISABLED |
這個偵測器會檢查虛擬私有雲子網路是否已啟用流量記錄。 |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
這個偵測器會檢查虛擬私有雲子網路的 |
查看防護機制範本
如要查看虛擬私有雲網路的擴充安全狀態範本,請按照下列步驟操作:
gcloud
使用下方的任何指令資料之前,請先替換以下項目:
-
ORGANIZATION_ID
:機構的數值 ID
執行
gcloud scc posture-templates
describe
指令:
Linux、macOS 或 Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
回覆會包含姿勢範本。
REST
使用任何要求資料之前,請先替換以下項目:
-
ORGANIZATION_ID
:機構的數值 ID
HTTP 方法和網址:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
如要傳送要求,請展開以下其中一個選項:
回覆會包含姿勢範本。