本頁面由 Cloud Translation API 翻譯而成。

虛擬私有雲網路的預先定義安全狀況 (擴充版)

本頁說明虛擬私有雲 (VPC) 網路擴充預先定義安全狀況 1.0 版中包含的預防和偵測政策。這項防護機制包含兩個政策組合：

政策集，包含適用於 VPC 網路的機構政策限制。
政策集，內含適用於 VPC 網路的安全狀態分析偵測工具。

您可以使用這項預先定義的狀態，設定有助於保護虛擬私有雲網路的安全性狀態。如要部署這項預先定義的狀態，您必須自訂部分政策，使其適用於您的環境。

機構政策限制

下表說明這項狀態包含的機構政策限制。

政策	說明	法規遵循標準
`compute.skipDefaultNetworkCreation`	這項布林限制會禁止在每個新專案中自動建立預設 VPC 網路和預設防火牆規則，確保網路和防火牆規則是刻意建立的。值為 `true`，可避免建立預設虛擬私有雲網路。	NIST SP 800-53 控制措施：SC-7 和 SC-8
`ainotebooks.restrictPublicIp`	這項布林值限制會限制公開 IP 對新建立的 Vertex AI Workbench 筆記本和執行個體的存取權。根據預設，公開 IP 位址可存取 Vertex AI Workbench 筆記本和執行個體。值為 `true`，可限制公開 IP 對新 Vertex AI Workbench 筆記本和執行個體的存取權。	NIST SP 800-53 控制措施：SC-7 和 SC-8
`compute.disableNestedVirtualization`	這項布林限制會停用所有 Compute Engine VM 的巢狀虛擬化功能，以降低未受監控的巢狀執行個體帶來的安全性風險。值為 `true`，可關閉 VM 巢狀虛擬化功能。	NIST SP 800-53 控制措施：SC-7 和 SC-8
`compute.vmExternalIpAccess`	這項清單限制會定義可使用外部 IP 位址的 Compute Engine VM 執行個體。根據預設，所有 VM 執行個體皆可使用外部 IP 位址。限制條件採用 `projects/PROJECT_ID/zones/ZONE/instances/INSTANCE` 格式。採用這項預先定義的狀態時，您必須設定這個值。	NIST SP 800-53 控制措施：SC-7 和 SC-8
`ainotebooks.restrictVpcNetworks`	這項清單限制定義了在強制執行這項限制後，使用者在建立新的 Vertex AI Workbench 執行個體時，可選擇的虛擬私有雲網路。採用這項預先定義的狀態時，您必須設定這個值。	NIST SP 800-53 控制措施：SC-7 和 SC-8
`compute.vmCanIpForward`	這項清單限制定義了使用者在建立新的 Vertex AI Workbench 執行個體時，可選擇的虛擬私有雲網路。根據預設，您可以使用任何虛擬私有雲網路建立 Vertex AI Workbench 執行個體。採用這項預先定義的狀態時，您必須設定這個值。	NIST SP 800-53 控制措施：SC-7 和 SC-8

安全狀態分析偵測工具

下表說明預先定義狀態中包含的安全性狀態分析偵測器。如要進一步瞭解這些偵測器，請參閱「安全漏洞發現」。

偵測工具名稱	說明
`FIREWALL_NOT_MONITORED`	這個偵測器會檢查記錄指標和快訊是否未設定為監控虛擬私有雲防火牆規則變更。
`NETWORK_NOT_MONITORED`	這個偵測器會檢查記錄指標和快訊是否未設定為監控虛擬私有雲網路變更。
`ROUTE_NOT_MONITORED`	這個偵測器會檢查記錄指標和快訊是否未設定為監控虛擬私有雲網路路徑變更。
`DNS_LOGGING_DISABLED`	這個偵測器會檢查虛擬私有雲網路是否已啟用 DNS 記錄功能。
`FLOW_LOGS_DISABLED`	這個偵測器會檢查虛擬私有雲子網路是否已啟用流量記錄。
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	這個偵測器會檢查虛擬私有雲子網路的 `enableFlowLogs` 屬性是否遺失或設為 `false`。

查看防護機制範本

如要查看虛擬私有雲網路的擴充安全狀態範本，請按照下列步驟操作：

gcloud

使用下方的任何指令資料之前，請先替換以下項目：

ORGANIZATION_ID：機構的數值 ID

執行 gcloud scc posture-templates describe 指令：

Linux、macOS 或 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

回覆會包含姿勢範本。

REST

使用任何要求資料之前，請先替換以下項目：

ORGANIZATION_ID：機構的數值 ID

HTTP 方法和網址：

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

如要傳送要求，請展開以下其中一個選項：

curl (Linux、macOS 或 Cloud Shell)

注意： 下列指令假設您已執行 gcloud init 或 gcloud auth login，透過使用者帳戶登入 gcloud CLI，或使用 Cloud Shell，自動登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended"

PowerShell (Windows)

注意： 下列指令假設您已執行 gcloud init 或 gcloud auth login，透過使用者帳戶登入 gcloud CLI。您可以執行 gcloud auth list 查看目前有效的帳戶。

執行下列指令：

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended" | Select-Object -Expand Content

回覆會包含姿勢範本。

後續步驟

使用這個預先定義的防護機制建立安全防護機制。

虛擬私有雲網路的預先定義安全狀況 (擴充版) 透過集合功能整理內容 你可以依據偏好儲存及分類內容。

機構政策限制

安全狀態分析偵測工具

查看防護機制範本

gcloud

Linux、macOS 或 Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux、macOS 或 Cloud Shell)

PowerShell (Windows)

後續步驟

虛擬私有雲網路的預先定義安全狀況 (擴充版)