Questa pagina descrive le norme preventive e di rilevamento incluse nella versione 1.0 della postura predefinita per il networking di Virtual Private Cloud (VPC), Essentials. Questa postura include due insiemi di norme:
Un insieme di norme che include i vincoli dei criteri dell'organizzazione che si applicano al networking VPC.
Un insieme di norme che include i rilevatori di Security Health Analytics che si applicano al networking VPC.
Puoi utilizzare questa postura predefinita per configurare una postura di sicurezza che ti aiuti a proteggere il networking VPC. Puoi eseguire il deployment di questa postura predefinita senza apportare modifiche.
Vincoli dei criteri dell'organizzazione
La tabella seguente descrive i vincoli dei criteri dell'organizzazione inclusi in questa postura.
| Norme | Descrizione | Standard di conformità |
|---|---|---|
compute.skipDefaultNetworkCreation |
Questo vincolo booleano disabilita la creazione automatica di una rete VPC predefinita e di regole firewall predefinite in ogni nuovo progetto, assicurando che le regole di rete e firewall vengano create intenzionalmente. Il valore è
|
Controllo NIST SP 800-53: SC-7 e SC-8 |
ainotebooks.restrictPublicIp |
Questo vincolo booleano limita l'accesso degli IP pubblici a istanze e notebook di Agent Platform Workbench appena creati. Per impostazione predefinita, gli indirizzi IP pubblici possono accedere a istanze e notebook di Agent Platform Workbench. Il valore è |
Controllo NIST SP 800-53: SC-7 e SC-8 |
compute.disableNestedVirtualization |
Questo vincolo booleano disabilita la virtualizzazione nidificata per tutte le VM di Compute Engine per ridurre il rischio per la sicurezza correlato alle istanze nidificate non monitorate. Il valore è |
Controllo NIST SP 800-53: SC-7 e SC-8 |
Rilevatori di Security Health Analytics
La tabella seguente descrive i rilevatori di Security Health Analytics inclusi nella postura predefinita. Per ulteriori informazioni su questi rilevatori, consulta Risultati delle vulnerabilità.
| Nome rilevatore | Descrizione |
|---|---|
FIREWALL_NOT_MONITORED |
Questo rilevatore verifica se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole firewall VPC. |
NETWORK_NOT_MONITORED |
Questo rilevatore verifica se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC. |
ROUTE_NOT_MONITORED |
Questo rilevatore verifica se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC. |
DNS_LOGGING_DISABLED |
Questo rilevatore verifica se la registrazione DNS è abilitata nella rete VPC. |
FLOW_LOGS_DISABLED |
Questo rilevatore verifica se i log di flusso sono abilitati nella subnet VPC. |
Visualizza il modello di postura
Per visualizzare il modello di postura per il networking VPC, Essentials:
gcloud
Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione.
Esegui il
gcloud scc posture-templates
describe
comando:
Linux, macOS o Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
La risposta contiene il modello di postura.
REST
Prima di utilizzare i dati della richiesta, apporta le sostituzioni seguenti:
-
ORGANIZATION_ID: l'ID numerico dell'organizzazione.
Metodo HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Per inviare la richiesta, espandi una di queste opzioni:
La risposta contiene il modello di postura.