Vordefinierte Haltung für VPC-Netzwerke, erweitert

Auf dieser Seite werden die präventiven und detektiven Richtlinien beschrieben, die in der Version 1.0 der vordefinierten Sicherheitskonfiguration für erweiterte VPC-Netzwerke (Virtual Private Cloud) enthalten sind. Diese Sicherheitskonfiguration umfasst zwei Richtliniensätze:

Einen Richtliniensatz mit Einschränkungen für Organisationsrichtlinien, die für VPC-Netzwerke gelten.
Einen Richtliniensatz mit Security Health Analytics-Detektoren, die für VPC-Netzwerke gelten.

Mit dieser vordefinierten Sicherheitskonfiguration können Sie eine Sicherheitskonfiguration erstellen, die VPC-Netzwerke schützt. Wenn Sie diese vordefinierte Sicherheitskonfiguration bereitstellen möchten, müssen Sie einige der Richtlinien an Ihre Umgebung anpassen.

Einschränkungen für Organisationsrichtlinien

In der folgenden Tabelle werden die Einschränkungen für Organisationsrichtlinien beschrieben, die in dieser Sicherheitskonfiguration enthalten sind.

Richtlinie	Beschreibung	Compliance standard
`compute.skipDefaultNetworkCreation`	Diese boolesche Einschränkung deaktiviert die automatische Erstellung eines Standard VPC-Netzwerk und von Standardfirewallregeln in jedem neuen Projekt. So wird sichergestellt, dass Netzwerk- und Firewallregeln bewusst erstellt werden. Der Wert ist `true` , um die Erstellung des Standard-VPC-Netzwerk zu vermeiden.	NIST SP 800-53-Kontrolle: SC-7 und SC-8
`ainotebooks.restrictPublicIp`	Diese boolesche Einschränkung schränkt den Zugriff über öffentliche IP-Adressen auf neu erstellte Vertex AI Workbench-Notebooks und ‑Instanzen ein. Standardmäßig kann über öffentliche IP ‑Adressen auf Vertex AI Workbench-Notebooks und ‑Instanzen zugegriffen werden. Der Wert ist `true`, um den Zugriff über öffentliche IP-Adressen auf neue Vertex AI Workbench-Notebooks und ‑Instanzen einzuschränken.	NIST SP 800-53-Kontrolle: SC-7 und SC-8
`compute.disableNestedVirtualization`	Diese boolesche Einschränkung deaktiviert die verschachtelte Virtualisierung für alle Compute Engine-VMs, um das Sicherheitsrisiko im Zusammenhang mit nicht überwachten verschachtelten Instanzen zu verringern. Der Wert ist `true`, um die verschachtelte Virtualisierung für VMs zu deaktivieren.	NIST SP 800-53-Kontrolle: SC-7 und SC-8
`compute.vmExternalIpAccess`	Diese Listeneinschränkung definiert die Compute Engine-VM-Instanzen, die externe IP-Adressen verwenden dürfen. Standardmäßig können alle VM-Instanzen externe IP-Adressen verwenden. Die Einschränkung verwendet das Format `projects/PROJECT_ID/zones/ZONE/instances/INSTANCE`. Sie müssen diesen Wert konfigurieren, wenn Sie diese vordefinierte Sicherheitskonfiguration übernehmen.	NIST SP 800-53-Kontrolle: SC-7 und SC-8
`ainotebooks.restrictVpcNetworks`	Diese Listeneinschränkung definiert die VPC-Netzwerke, die ein Nutzer auswählen kann, wenn er neue Vertex AI Workbench-Instanzen erstellt, in denen diese Einschränkung erzwungen wird. Sie müssen diesen Wert konfigurieren, wenn Sie diese vordefinierte Sicherheitskonfiguration übernehmen.	NIST SP 800-53-Kontrolle: SC-7 und SC-8
`compute.vmCanIpForward`	Diese Listeneinschränkung definiert die VPC-Netzwerke, die ein Nutzer auswählen kann, wenn er neue Vertex AI Workbench-Instanzen erstellt. Standardmäßig können Sie eine Vertex AI Workbench-Instanz mit jedem VPC-Netzwerk erstellen. Sie müssen diesen Wert konfigurieren, wenn Sie diese vordefinierte Sicherheitskonfiguration übernehmen.	NIST SP 800-53-Kontrolle: SC-7 und SC-8

Security Health Analytics – Detektoren

In der folgenden Tabelle werden die Security Health Analytics-Detektoren beschrieben, die in der vordefinierten Sicherheitskonfiguration enthalten sind. Weitere Informationen zu diesen Detektoren finden Sie unter Erfasste Sicherheitslücken.

Detektorname	Beschreibung
`FIREWALL_NOT_MONITORED`	Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen für das Monitoring von Änderungen an den VPC-Firewallregeln konfiguriert sind.
`NETWORK_NOT_MONITORED`	Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen für das Monitoring von Änderungen am VPC-Netzwerk konfiguriert sind.
`ROUTE_NOT_MONITORED`	Dieser Detektor prüft, ob Logmesswerte und Benachrichtigungen für das Monitoring von Änderungen an der VPC-Netzwerkroute konfiguriert sind.
`DNS_LOGGING_DISABLED`	Dieser Detektor prüft, ob das DNS-Logging im VPC-Netzwerk aktiviert ist.
`FLOW_LOGS_DISABLED`	Dieser Detektor prüft, ob Flusslogs im VPC-Subnetzwerk aktiviert sind.
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	Dieser Detektor prüft, ob das Attribut `enableFlowLogs` von VPC-Subnetzwerken fehlt oder auf `false` gesetzt ist.

Vorlage für Sicherheitskonfiguration ansehen

So sehen Sie die Vorlage für die Sicherheitskonfiguration für erweiterte VPC-Netzwerke:

gcloud

Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:

ORGANIZATION_ID: die numerische ID der Organisation.

Führen Sie den gcloud scc posture-templates describe Befehl aus:

Linux, macOS oder Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Die Antwort enthält die Vorlage für die Sicherheitskonfiguration.

REST

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

ORGANIZATION_ID: die numerische ID der Organisation.

HTTP-Methode und URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto in der gcloud-Befehlszeile angemeldet haben, indem Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt haben, die Sie automatisch in der gcloud-Befehlszeile anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto in der gcloud-Befehlszeile angemeldet haben, indem Sie gcloud init oder gcloud auth login ausgeführt haben. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Führen Sie folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended" | Select-Object -Expand Content

Die Antwort enthält die Vorlage für die Sicherheitskonfiguration.

Nächste Schritte

Mit dieser vordefinierten Sicherheitskonfiguration eine Sicherheitskonfiguration erstellen.

Vordefinierte Haltung für VPC-Netzwerke, erweitert Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Einschränkungen für Organisationsrichtlinien

Security Health Analytics – Detektoren

Vorlage für Sicherheitskonfiguration ansehen

gcloud

Linux, macOS oder Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

REST

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

Nächste Schritte

Vordefinierte Haltung für VPC-Netzwerke, erweitert