Postura predefinida para las redes de VPC (aspectos esenciales)

En esta página, se describen las políticas de prevención y detección incluidas en la versión 1.0 de la postura predefinida para los aspectos básicos de las redes de nube privada virtual (VPC). Esta postura incluye dos conjuntos de políticas:

Uno que incluye restricciones de políticas de la organización que se aplican a las redes de VPC.
Otro que incluye detectores de Security Health Analytics que se aplican a las redes de VPC.

Puedes usar esta postura predefinida para configurar una postura de seguridad que facilite la protección de las redes de VPC. Esta postura predefinida se puede implementar sin realizar ningún cambio.

Restricciones de las políticas de la organización

En la tabla siguiente, se describen las restricciones de las políticas de la organización incluidas en esta postura.

Política Descripción Estándar de cumplimiento

Política	Descripción	Estándar de cumplimiento
`compute.skipDefaultNetworkCreation`	Esta restricción booleana inhabilita la creación automática de una red de VPC predeterminada y reglas de firewall predeterminadas en cada proyecto nuevo. Esto garantiza que la red y las reglas de firewall se creen de forma intencional. El valor es `true` para evitar la creación de la red de VPC predeterminada.	Control de la SP 800-53 del NIST: SC-7 y SC-8
`ainotebooks.restrictPublicIp`	Esta restricción booleana limita el acceso de IP públicas a los notebooks y las instancias de Vertex AI Workbench recién creados. De forma predeterminada, las direcciones IP públicas pueden acceder a los notebooks y las instancias de Vertex AI Workbench. El valor es `true` para restringir el acceso de IP públicas en los notebooks y las instancias nuevos de Vertex AI Workbench.	Control de la SP 800-53 del NIST: SC-7 y SC-8
`compute.disableNestedVirtualization`	Esta restricción booleana inhabilita la virtualización anidada para todas las VMs de Compute Engine, lo que disminuye el riesgo de seguridad relacionado con las instancias anidadas sin supervisión. El valor es `true` para desactivar la virtualización anidada de la VM.	Control de la SP 800-53 del NIST: SC-7 y SC-8

compute.skipDefaultNetworkCreation

Esta restricción booleana inhabilita la creación automática de una red de VPC predeterminada y reglas de firewall predeterminadas en cada proyecto nuevo. Esto garantiza que la red y las reglas de firewall se creen de forma intencional.

El valor es true para evitar la creación de la red de VPC predeterminada.

Control de la SP 800-53 del NIST: SC-7 y SC-8

ainotebooks.restrictPublicIp

Esta restricción booleana limita el acceso de IP públicas a los notebooks y las instancias de Vertex AI Workbench recién creados. De forma predeterminada, las direcciones IP públicas pueden acceder a los notebooks y las instancias de Vertex AI Workbench.

El valor es true para restringir el acceso de IP públicas en los notebooks y las instancias nuevos de Vertex AI Workbench.

Control de la SP 800-53 del NIST: SC-7 y SC-8

compute.disableNestedVirtualization

Esta restricción booleana inhabilita la virtualización anidada para todas las VMs de Compute Engine, lo que disminuye el riesgo de seguridad relacionado con las instancias anidadas sin supervisión.

El valor es true para desactivar la virtualización anidada de la VM.

Control de la SP 800-53 del NIST: SC-7 y SC-8

Detectores de Security Health Analytics

En la siguiente tabla, se describen los detectores de Security Health Analytics que se incluyen en la postura predefinida. Para obtener más información sobre estos detectores, consulta Hallazgos de vulnerabilidades.

Nombre del detector	Descripción
`FIREWALL_NOT_MONITORED`	Este detector verifica si las métricas y alertas de registros no están configuradas para supervisar los cambios en las reglas del firewall de VPC.
`NETWORK_NOT_MONITORED`	Este detector verifica si las métricas y las alertas de registros no están configuradas para supervisar los cambios de la red de VPC.
`ROUTE_NOT_MONITORED`	Este detector verifica si las métricas y alertas de registros no están configuradas para supervisar los cambios en la ruta de la red de VPC.
`DNS_LOGGING_DISABLED`	Este detector verifica si el registro de DNS está habilitado en la red de VPC.
`FLOW_LOGS_DISABLED`	Este detector verifica si los registros de flujo están habilitados en la subred de VPC.

Visualiza la plantilla de la postura

Para ver la plantilla de la postura de redes de VPC (aspectos básicos), haz lo siguiente:

gcloud

Antes de usar cualquiera de los datos de comandos indicados a continuación, reemplaza lo siguiente:

ORGANIZATION_ID: Es el ID numérico de la organización.

Ejecuta el comando gcloud scc posture-templates describe:

Linux, macOS o Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

La respuesta incluye la plantilla de postura.

REST

Antes de usar cualquiera de los datos de solicitud a continuación, haz los siguientes reemplazos:

ORGANIZATION_ID: Es el ID numérico de la organización.

Método HTTP y URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a gcloud CLI con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login , o a través del uso de Cloud Shell, que accede de forma automática a gcloud CLI . Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential"

PowerShell (Windows)

Nota: El siguiente comando supone que accediste a gcloud CLI con tu cuenta de usuario a través de la ejecución de gcloud init o gcloud auth login . Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential" | Select-Object -Expand Content

La respuesta incluye la plantilla de postura.

¿Qué sigue?

Crea una postura de seguridad con esta postura predefinida.

Postura predefinida para las redes de VPC (aspectos esenciales) Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Restricciones de las políticas de la organización

Detectores de Security Health Analytics

Visualiza la plantilla de la postura

gcloud

Linux, macOS o Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS o Cloud Shell)

PowerShell (Windows)

¿Qué sigue?

Postura predefinida para las redes de VPC (aspectos esenciales)