Stratégie prédéfinie pour les éléments essentiels de la mise en réseau VPC

Cette page décrit les règles préventives et de détection incluses dans la version 1.0 de la stratégie "éléments essentiels" prédéfinie pour la mise en réseau des clouds privés virtuels (VPC). Cette stratégie inclut deux ensembles de règles :

Ensemble de règles incluant des contraintes de règles d'administration qui s'appliquent à la mise en réseau VPC
Ensemble de règles qui inclut les détecteurs Security Health Analytics s'appliquant à la mise en réseau VPC

Vous pouvez utiliser cette stratégie prédéfinie pour configurer une "security posture" qui permet de protéger la mise en réseau VPC. Vous pouvez déployer cette stratégie prédéfinie sans y apporter de modifications.

Contraintes liées aux règles d'administration

Le tableau suivant décrit les contraintes liées aux règles d'administration incluses dans cette stratégie.

Règle Description Norme de conformité

Règle	Description	Norme de conformité
`compute.skipDefaultNetworkCreation`	Cette contrainte booléenne désactive la création automatique d'un réseau VPC par défaut et de règles de pare-feu par défaut dans chaque nouveau projet. Elle permet de s'assurer que les règles de réseau et de pare-feu sont créées intentionnellement. La valeur est définie sur `true` pour éviter de créer le réseau VPC par défaut.	Contrôles NIST SP 800-53 : SC-7 et SC-8
`ainotebooks.restrictPublicIp`	Cette contrainte booléenne limite l'accès depuis des adresses IP publiques aux instances et notebooks Vertex AI Workbench nouvellement créés. Par défaut, les adresses IP publiques peuvent accéder aux instances et notebooks Vertex AI Workbench. La valeur est définie sur `true` pour limiter l'accès des adresses IP publiques sur les instances et notebooks Vertex AI Workbench nouvellement créés.	Contrôles NIST SP 800-53 : SC-7 et SC-8
`compute.disableNestedVirtualization`	Cette contrainte booléenne désactive la virtualisation imbriquée pour toutes les VM Compute Engine afin de réduire le risque de sécurité lié aux instances imbriquées non surveillées. La valeur est définie sur `true` pour désactiver la virtualisation imbriquée de la VM.	Contrôles NIST SP 800-53 : SC-7 et SC-8

compute.skipDefaultNetworkCreation

Cette contrainte booléenne désactive la création automatique d'un réseau VPC par défaut et de règles de pare-feu par défaut dans chaque nouveau projet. Elle permet de s'assurer que les règles de réseau et de pare-feu sont créées intentionnellement.

La valeur est définie sur true pour éviter de créer le réseau VPC par défaut.

Contrôles NIST SP 800-53 : SC-7 et SC-8

ainotebooks.restrictPublicIp

Cette contrainte booléenne limite l'accès depuis des adresses IP publiques aux instances et notebooks Vertex AI Workbench nouvellement créés. Par défaut, les adresses IP publiques peuvent accéder aux instances et notebooks Vertex AI Workbench.

La valeur est définie sur true pour limiter l'accès des adresses IP publiques sur les instances et notebooks Vertex AI Workbench nouvellement créés.

Contrôles NIST SP 800-53 : SC-7 et SC-8

compute.disableNestedVirtualization

Cette contrainte booléenne désactive la virtualisation imbriquée pour toutes les VM Compute Engine afin de réduire le risque de sécurité lié aux instances imbriquées non surveillées.

La valeur est définie sur true pour désactiver la virtualisation imbriquée de la VM.

Contrôles NIST SP 800-53 : SC-7 et SC-8

Détecteurs Security Health Analytics

Le tableau suivant décrit les détecteurs Security Health Analytics inclus dans la stratégie prédéfinie. Pour en savoir plus sur ces détecteurs, consultez Failles identifiées.

Nom du détecteur	Description
`FIREWALL_NOT_MONITORED`	Ce détecteur vérifie que les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées aux règles de pare-feu VPC.
`NETWORK_NOT_MONITORED`	Ce détecteur vérifie que les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées au réseau VPC.
`ROUTE_NOT_MONITORED`	Ce détecteur vérifie que les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la route de réseau VPC.
`DNS_LOGGING_DISABLED`	Ce détecteur vérifie si la journalisation DNS est activée sur le réseau VPC.
`FLOW_LOGS_DISABLED`	Ce détecteur vérifie si les journaux de flux sont activés sur le sous-réseau VPC.

Afficher le modèle de stratégie

Pour afficher le modèle de stratégie pour les éléments essentiels de la mise en réseau VPC, procédez comme suit :

gcloud

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

ORGANIZATION_ID : ID numérique de l'organisation

Exécutez la commande gcloud scc posture-templates describe :

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

La réponse contient le modèle de stratégie.

REST

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

ORGANIZATION_ID : ID numérique de l'organisation

Méthode HTTP et URL :

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Pour envoyer votre requête, développez l'une des options suivantes :

curl (Linux, macOS ou Cloud Shell)

Remarque : La commande suivante suppose que vous vous êtes connecté à la gcloud CLI avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login, ou en utilisant Cloud Shell, qui vous connecte automatiquement à la gcloud CLI. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential"

PowerShell (Windows)

Remarque : La commande suivante suppose que vous vous êtes connecté à la gcloud CLI avec votre compte utilisateur en exécutant la commande gcloud init ou gcloud auth login. Vous pouvez exécuter la commande gcloud auth list pour vérifier quel est le compte actuellement actif.

Exécutez la commande suivante :

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential" | Select-Object -Expand Content

La réponse contient le modèle de stratégie.

Étape suivante

Créez une "security posture" à l'aide de cette stratégie prédéfinie.

Stratégie prédéfinie pour les éléments essentiels de la mise en réseau VPC Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Contraintes liées aux règles d'administration

Détecteurs Security Health Analytics

Afficher le modèle de stratégie

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

Étape suivante

Stratégie prédéfinie pour les éléments essentiels de la mise en réseau VPC