מצב אבטחה מוגדר מראש ל-VPC networking, essentials

בדף הזה מוסבר על מדיניות מניעת איומים וזיהוי איומים שכלולה בגרסה 1.0 של המצב המוגדר מראש לרשתות של ענן וירטואלי פרטי (VPC), essentials. התפיסה הזו כוללת שני סטים של מדיניות:

קבוצת מדיניות שכוללת מגבלות של מדיניות הארגון שחלות על רשתות VPC.
קבוצת מדיניות שכוללת גלאים של Security Health Analytics שחלים על רשתות VPC.

אתם יכולים להשתמש במצב המוגדר מראש הזה כדי להגדיר מצב אבטחה שיעזור להגן על רשתות VPC. אפשר לפרוס את המצב המוגדר מראש הזה בלי לבצע שינויים.

מגבלות שקשורות למדיניות הארגון

בטבלה הבאה מתוארות המגבלות של מדיניות הארגון שכלולות במצב הזה.

מדיניות תיאור תקן תאימות

מדיניות	תיאור	תקן תאימות
`compute.skipDefaultNetworkCreation`	האילוץ הבוליאני הזה משבית את היצירה האוטומטית של רשת VPC שמוגדרת כברירת מחדל ושל כללי חומת אש שמוגדרים כברירת מחדל בכל פרויקט חדש, וכך מבטיח שכללי הרשת וכללי חומת האש ייווצרו בכוונה. הערך הוא `true` כדי למנוע יצירה של רשת VPC שמוגדרת כברירת מחדל.	אמצעי הבקרה NIST SP 800-53: ‏ SC-7 ו-SC-8
`ainotebooks.restrictPublicIp`	האילוץ הבוליאני הזה מגביל את הגישה לכתובות IP ציבוריות למכונות ולמסמכי notebook חדשים שנוצרו ב-Vertex AI Workbench. כברירת מחדל, כתובות IP ציבוריות יכולות לגשת למסמכי notebook ולמכונות של Vertex AI Workbench. הערך הוא `true` כדי להגביל את הגישה לכתובות IP ציבוריות ב-notebooks ובמכונות חדשות של Vertex AI Workbench.	אמצעי הבקרה NIST SP 800-53: ‏ SC-7 ו-SC-8
`compute.disableNestedVirtualization`	האילוץ הבוליאני הזה משבית את הווירטואליזציה המקוננת בכל המכונות הווירטואליות ב-Compute Engine כדי להפחית את סיכון האבטחה שקשור למופעים מקוננים לא מפוקחים. הערך הוא `true` כדי להשבית את הווירטואליזציה המקוננת של מכונת ה-VM.	אמצעי הבקרה NIST SP 800-53: ‏ SC-7 ו-SC-8

compute.skipDefaultNetworkCreation

האילוץ הבוליאני הזה משבית את היצירה האוטומטית של רשת VPC שמוגדרת כברירת מחדל ושל כללי חומת אש שמוגדרים כברירת מחדל בכל פרויקט חדש, וכך מבטיח שכללי הרשת וכללי חומת האש ייווצרו בכוונה.

הערך הוא true כדי למנוע יצירה של רשת VPC שמוגדרת כברירת מחדל.

אמצעי הבקרה NIST SP 800-53: ‏ SC-7 ו-SC-8

ainotebooks.restrictPublicIp

האילוץ הבוליאני הזה מגביל את הגישה לכתובות IP ציבוריות למכונות ולמסמכי notebook חדשים שנוצרו ב-Vertex AI Workbench. כברירת מחדל, כתובות IP ציבוריות יכולות לגשת למסמכי notebook ולמכונות של Vertex AI Workbench.

הערך הוא true כדי להגביל את הגישה לכתובות IP ציבוריות ב-notebooks ובמכונות חדשות של Vertex AI Workbench.

אמצעי הבקרה NIST SP 800-53: ‏ SC-7 ו-SC-8

compute.disableNestedVirtualization

האילוץ הבוליאני הזה משבית את הווירטואליזציה המקוננת בכל המכונות הווירטואליות ב-Compute Engine כדי להפחית את סיכון האבטחה שקשור למופעים מקוננים לא מפוקחים.

הערך הוא true כדי להשבית את הווירטואליזציה המקוננת של מכונת ה-VM.

אמצעי הבקרה NIST SP 800-53: ‏ SC-7 ו-SC-8

גלאים ב-Security Health Analytics

בטבלה הבאה מתוארים הגלאים של Security Health Analytics שכלולים במצב האבטחה המוגדר מראש. מידע נוסף על הגלאים האלה זמין במאמר מציאת נקודות חולשה.

שם המזהה	תיאור
`FIREWALL_NOT_MONITORED`	הגלאי הזה בודק אם מדדי היומן וההתראות לא מוגדרים למעקב אחרי שינויים בכללי חומת האש של VPC.
`NETWORK_NOT_MONITORED`	הגלאי הזה בודק אם מדדי יומן והתראות לא מוגדרים למעקב אחרי שינויים ברשת VPC.
`ROUTE_NOT_MONITORED`	הגלאי הזה בודק אם מדדי היומן וההתראות לא מוגדרים למעקב אחרי שינויים בנתיב של רשת VPC.
`DNS_LOGGING_DISABLED`	הגלאי הזה בודק אם רישום ביומן של DNS מופעל ברשת ה-VPC.
`FLOW_LOGS_DISABLED`	הגלאי הזה בודק אם יומני זרימה מופעלים ברשת המשנה של ה-VPC.

הצגת תבנית המצב

כדי לראות את תבנית המצב של רשתות VPC, essentials:

gcloud

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫ORGANIZATION_ID: המזהה המספרי של הארגון

מריצים את הפקודה gcloud scc posture-templates describe:

‫Linux,‏ macOS או Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

‏Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows‏ (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

התשובה מכילה את תבנית המצב.

REST

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫ORGANIZATION_ID: המזהה המספרי של הארגון

ה-method של ה-HTTP וכתובת ה-URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential"

‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential" | Select-Object -Expand Content

התשובה מכילה את תבנית המצב.

המאמרים הבאים

יצירת מצב אבטחה באמצעות המצב המוגדר מראש הזה.

מצב אבטחה מוגדר מראש ל-VPC networking, essentials קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

מגבלות שקשורות למדיניות הארגון

גלאים ב-Security Health Analytics

הצגת תבנית המצב

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

REST

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

המאמרים הבאים

מצב אבטחה מוגדר מראש ל-VPC networking, essentials