Modelo de postura predefinido para rede VPC, estendido

Esta página descreve as políticas preventivas e de detecção incluídas na versão 1.0 da postura predefinida para redes de nuvem privada virtual (VPC), estendida. Essa postura inclui dois conjuntos de políticas:

  • Um conjunto de políticas que inclui restrições de políticas da organização aplicáveis a redes VPC.

  • Um conjunto de políticas que inclui detectores da Análise de integridade da segurança aplicáveis a redes VPC.

Você pode usar essa postura predefinida para configurar uma postura de segurança que ajude a proteger as redes VPC. Se você quiser implantar essa postura predefinida, será necessário personalizar algumas das políticas para que elas se apliquem ao seu ambiente.

Restrições da política da organização

A tabela a seguir descreve as restrições da política da organização incluídas nessa postura.

Política Descrição Padrão de conformidade
compute.skipDefaultNetworkCreation

Essa restrição booleana desativa a criação automática de uma rede VPC padrão e regras de firewall padrão em cada novo projeto, garantindo que as regras de rede e de firewall sejam criadas intencionalmente.

O valor é true para evitar a criação da rede VPC padrão.

Controle NIST SP 800-53: SC-7 e SC-8
ainotebooks.restrictPublicIp

Essa restrição booleana restringe o acesso de IP público a notebooks e instâncias recém-criados do Vertex AI Workbench. Por padrão, os endereços IP públicos podem acessar notebooks e instâncias do Vertex AI Workbench.

O valor é true para restringir o acesso de IP público em novas instâncias e notebooks do Vertex AI Workbench.

Controle NIST SP 800-53: SC-7 e SC-8
compute.disableNestedVirtualization

Essa restrição booleana desativa a virtualização aninhada para todas as VMs do Compute Engine para diminuir o risco de segurança relacionado a instâncias aninhadas não monitoradas.

O valor é true para desativar a virtualização aninhada de VMs.

Controle NIST SP 800-53: SC-7 e SC-8
compute.vmExternalIpAccess

Essa restrição de lista define as instâncias de VMs do Compute Engine que podem usar endereços IP externo. Por padrão, todas as instâncias de VM podem usar endereços IP externo. A restrição usa o formato projects/PROJECT_ID/zones/ZONE/instances/INSTANCE.

Você precisa configurar esse valor ao adotar essa postura predefinida.

Controle NIST SP 800-53: SC-7 e SC-8
ainotebooks.restrictVpcNetworks

Esta restrição de lista define as redes VPC que um usuário pode escolher ao criar instâncias do Vertex AI Workbench em que esta restrição é aplicada.

Você precisa configurar esse valor ao adotar essa postura predefinida.

Controle NIST SP 800-53: SC-7 e SC-8
compute.vmCanIpForward

Essa restrição de lista define as redes VPC que um usuário pode selecionar ao criar novas instâncias do Vertex AI Workbench. Por padrão, é possível criar uma instância do Vertex AI Workbench com qualquer rede VPC.

Você precisa configurar esse valor ao adotar essa postura predefinida.

Controle NIST SP 800-53: SC-7 e SC-8

Detectores da Análise de integridade da segurança

A tabela a seguir descreve os detectores da Análise de integridade da segurança incluídos na postura predefinida. Para mais informações sobre esses detectores, consulte Descobertas de vulnerabilidades.

Nome do detector Descrição
FIREWALL_NOT_MONITORED

Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar mudanças nas regras de firewall da VPC.

NETWORK_NOT_MONITORED

Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar mudanças na rede VPC.

ROUTE_NOT_MONITORED

Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar mudanças na rota da rede VPC.

DNS_LOGGING_DISABLED

Esse detector verifica se a geração de registros de DNS está ativada na rede VPC.

FLOW_LOGS_DISABLED

Esse detector verifica se os registros de fluxo estão ativados na sub-rede VPC.

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Esse detector verifica se a propriedade enableFlowLogs das sub-redes VPC está ausente ou definida como false.

Conferir o modelo de postura

Para conferir o modelo de postura para redes VPC, estendido, faça o seguinte:

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORGANIZATION_ID: o ID numérico da organização.

Execute o gcloud scc posture-templates describe comando:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

A resposta contém o modelo de postura.

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORGANIZATION_ID: o ID numérico da organização.

Método HTTP e URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Para enviar a solicitação, expanda uma destas opções:

A resposta contém o modelo de postura.

A seguir