Esta página descreve as políticas preventivas e de deteção incluídas na versão 1.0 da postura predefinida para redes da nuvem virtual privada (VPC), essentials. Esta postura inclui dois conjuntos de políticas:
Um conjunto de políticas que inclui restrições de políticas da organização que se aplicam à rede VPC.
Um conjunto de políticas que inclui detetores do Security Health Analytics que se aplicam ao trabalho em rede da VPC.
Pode usar esta postura predefinida para configurar uma postura de segurança que ajuda a proteger a rede da VPC. Pode implementar esta postura predefinida sem fazer alterações.
Restrições de políticas da organização
A tabela seguinte descreve as restrições da política de organização incluídas nesta postura.
| Política | Descrição | Norma de conformidade |
|---|---|---|
compute.skipDefaultNetworkCreation |
Esta restrição booleana desativa a criação automática de uma rede da VPC predefinida e de regras de firewall predefinidas em cada novo projeto, garantindo que as regras de rede e de firewall são criadas intencionalmente. O valor é |
Controlo NIST SP 800-53: SC-7 e SC-8 |
ainotebooks.restrictPublicIp |
Esta restrição booleana restringe o acesso de IP público a instâncias e blocos de notas do Vertex AI Workbench criados recentemente. Por predefinição, os endereços IP públicos podem aceder aos blocos de notas e às instâncias do Vertex AI Workbench. O valor é |
Controlo NIST SP 800-53: SC-7 e SC-8 |
compute.disableNestedVirtualization |
Esta restrição booleana desativa a virtualização aninhada para todas as VMs do Compute Engine para diminuir o risco de segurança relacionado com instâncias aninhadas não monitorizadas. O valor é |
Controlo NIST SP 800-53: SC-7 e SC-8 |
Detetores de análise de estado de segurança
A tabela seguinte descreve os detetores do Security Health Analytics incluídos na postura predefinida. Para mais informações sobre estes detetores, consulte o artigo Resultados de vulnerabilidades.
| Nome do detetor | Descrição |
|---|---|
FIREWALL_NOT_MONITORED |
Este detetor verifica se as métricas de registo e os alertas não estão configurados para monitorizar as alterações às regras da firewall da VPC. |
NETWORK_NOT_MONITORED |
Este detetor verifica se as métricas de registo e os alertas não estão configurados para monitorizar as alterações da rede VPC. |
ROUTE_NOT_MONITORED |
Este detetor verifica se as métricas de registo e os alertas não estão configurados para monitorizar as alterações de rota da rede VPC. |
DNS_LOGGING_DISABLED |
Este detetor verifica se o registo de DNS está ativado na rede VPC. |
FLOW_LOGS_DISABLED |
Este detetor verifica se os registos de fluxo estão ativados na sub-rede da VPC. |
Veja o modelo de postura
Para ver o modelo de postura para redes VPC, essentials, faça o seguinte:
gcloud
Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:
-
ORGANIZATION_ID: o ID numérico da organização
Execute o comando
gcloud scc posture-templates
describe:
Linux, macOS ou Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
A resposta contém o modelo de postura.
REST
Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:
-
ORGANIZATION_ID: o ID numérico da organização
Método HTTP e URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential
Para enviar o seu pedido, expanda uma destas opções:
A resposta contém o modelo de postura.