虛擬私有雲網路的預先定義安全狀況 (擴充版)

本頁說明虛擬私有雲 (VPC) 網路擴充預先定義安全狀況 1.0 版中包含的預防和偵測政策。這項防護機制包含兩個政策組合:

  • 政策集,包含適用於 VPC 網路的機構政策限制。

  • 政策集,內含適用於 VPC 網路的安全狀態分析偵測工具。

您可以使用這項預先定義的狀態,設定有助於保護虛擬私有雲網路的安全性狀態。如要部署這項預先定義的狀態,您必須自訂部分政策,使其適用於您的環境。

機構政策限制

下表說明這項狀態包含的機構政策限制。

政策 說明 法規遵循標準
compute.skipDefaultNetworkCreation

這項布林限制會禁止在每個新專案中自動建立預設 VPC 網路和預設防火牆規則,確保網路和防火牆規則是刻意建立的。

值為 true,可避免建立預設虛擬私有雲網路。

NIST SP 800-53 控制措施:SC-7 和 SC-8
ainotebooks.restrictPublicIp

這項布林值限制會限制公開 IP 對新建立的 Vertex AI Workbench 筆記本和執行個體的存取權。根據預設,公開 IP 位址可存取 Vertex AI Workbench 筆記本和執行個體。

值為 true,可限制公開 IP 對新 Vertex AI Workbench 筆記本和執行個體的存取權。

NIST SP 800-53 控制措施:SC-7 和 SC-8
compute.disableNestedVirtualization

這項布林限制會停用所有 Compute Engine VM 的巢狀虛擬化功能,以降低未受監控的巢狀執行個體帶來的安全性風險。

值為 true,可關閉 VM 巢狀虛擬化功能。

NIST SP 800-53 控制措施:SC-7 和 SC-8
compute.vmExternalIpAccess

這項清單限制會定義可使用外部 IP 位址的 Compute Engine VM 執行個體。根據預設,所有 VM 執行個體皆可使用外部 IP 位址。限制條件採用 projects/PROJECT_ID/zones/ZONE/instances/INSTANCE 格式。

採用這項預先定義的狀態時,您必須設定這個值。

NIST SP 800-53 控制措施:SC-7 和 SC-8
ainotebooks.restrictVpcNetworks

這項清單限制定義了在強制執行這項限制後,使用者在建立新的 Vertex AI Workbench 執行個體時,可選擇的虛擬私有雲網路。

採用這項預先定義的狀態時,您必須設定這個值。

NIST SP 800-53 控制措施:SC-7 和 SC-8
compute.vmCanIpForward

這項清單限制定義了使用者在建立新的 Vertex AI Workbench 執行個體時,可選擇的虛擬私有雲網路。根據預設,您可以使用任何虛擬私有雲網路建立 Vertex AI Workbench 執行個體。

採用這項預先定義的狀態時,您必須設定這個值。

NIST SP 800-53 控制措施:SC-7 和 SC-8

安全狀態分析偵測工具

下表說明預先定義狀態中包含的安全性狀態分析偵測器。如要進一步瞭解這些偵測器,請參閱「安全漏洞發現」。

偵測工具名稱 說明
FIREWALL_NOT_MONITORED

這個偵測器會檢查記錄指標和快訊是否未設定為監控虛擬私有雲防火牆規則變更。

NETWORK_NOT_MONITORED

這個偵測器會檢查記錄指標和快訊是否未設定為監控虛擬私有雲網路變更。

ROUTE_NOT_MONITORED

這個偵測器會檢查記錄指標和快訊是否未設定為監控虛擬私有雲網路路徑變更。

DNS_LOGGING_DISABLED

這個偵測器會檢查虛擬私有雲網路是否已啟用 DNS 記錄功能。

FLOW_LOGS_DISABLED

這個偵測器會檢查虛擬私有雲子網路是否已啟用流量記錄。

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

這個偵測器會檢查虛擬私有雲子網路的 enableFlowLogs 屬性是否遺失或設為 false

查看防護機制範本

如要查看虛擬私有雲網路的擴充安全狀態範本,請按照下列步驟操作:

gcloud

使用下方的任何指令資料之前,請先替換以下項目:

  • ORGANIZATION_ID:機構的數值 ID

執行 gcloud scc posture-templates describe 指令:

Linux、macOS 或 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

回覆會包含姿勢範本。

REST

使用任何要求資料之前,請先替換以下項目:

  • ORGANIZATION_ID:機構的數值 ID

HTTP 方法和網址:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

如要傳送要求,請展開以下其中一個選項:

回覆會包含姿勢範本。

後續步驟