Postura predefinida para rede VPC, estendida

Esta página descreve as políticas preventivas e de detecção incluídas na versão 1.0 da postura predefinida para redes de nuvem privada virtual (VPC), estendida. Essa postura inclui dois conjuntos de políticas:

  • Um conjunto de políticas que inclui restrições de políticas da organização aplicáveis à rede VPC.

  • Um conjunto de políticas que inclui detectores da Análise de integridade da segurança aplicáveis à rede VPC.

É possível usar essa postura predefinida para configurar uma postura de segurança que ajude a proteger a rede VPC. Se você quiser implantar essa postura predefinida, personalize algumas das políticas para que elas se apliquem ao seu ambiente.

Restrições da política da organização

A tabela a seguir descreve as restrições da política da organização incluídas nessa postura.

Política Descrição Padrão de conformidade
compute.skipDefaultNetworkCreation

Essa restrição booleana desativa a criação automática de uma rede VPC padrão e regras de firewall padrão em cada novo projeto, garantindo que as regras de rede e de firewall sejam criadas intencionalmente.

O valor é true para evitar a criação da rede VPC padrão.

 Controle NIST SP 800-53: SC-7 e SC-8
ainotebooks.restrictPublicIp

Essa restrição booleana restringe o acesso de IP público a notebooks e instâncias recém-criados do Vertex AI Workbench. Por padrão, os endereços IP públicos podem acessar notebooks e instâncias do Vertex AI Workbench.

O valor é true para restringir o acesso de IP público em novas instâncias e notebooks do Vertex AI Workbench.

 Controle NIST SP 800-53: SC-7 e SC-8
compute.disableNestedVirtualization

Essa restrição booleana desativa a virtualização aninhada para todas as VMs do Compute Engine e diminui o risco de segurança relacionado a instâncias aninhadas não monitoradas.

O valor é true para desativar a virtualização aninhada de VM.

 Controle NIST SP 800-53: SC-7 e SC-8
compute.vmExternalIpAccess

Com essa restrição de lista, são definidas as instâncias de VM do Compute Engine que podem usar endereços IP externo. Por padrão, todas as instâncias de VM podem usar endereços IP externo. A restrição usa o formato projects/PROJECT_ID/zones/ZONE/instances/INSTANCE.

Você precisa configurar esse valor ao adotar essa postura predefinida.

 Controle NIST SP 800-53: SC-7 e SC-8
ainotebooks.restrictVpcNetworks

Esta restrição de lista define as redes VPC que um usuário pode selecionar ao criar instâncias do Vertex AI Workbench em que essa restrição é aplicada.

Você precisa configurar esse valor ao adotar essa postura predefinida.

 Controle NIST SP 800-53: SC-7 e SC-8
compute.vmCanIpForward

Esta restrição de lista define as redes VPC que um usuário pode selecionar ao criar instâncias do Vertex AI Workbench. Por padrão, é possível criar uma instância do Vertex AI Workbench com qualquer rede VPC.

Você precisa configurar esse valor ao adotar essa postura predefinida.

 Controle NIST SP 800-53: SC-7 e SC-8

Detectores do Security Health Analytics

A tabela a seguir descreve os detectores do Security Health Analytics incluídos na postura predefinida. Para mais informações sobre esses detectores, consulte Descobertas de vulnerabilidades.

Nome do detector Descrição
FIREWALL_NOT_MONITORED

Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar as mudanças nas regras do firewall da VPC.
NETWORK_NOT_MONITORED

Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar mudanças na rede VPC.
ROUTE_NOT_MONITORED

Esse detector verifica se as métricas e os alertas de registro não estão configurados para monitorar mudanças na rota da rede VPC.
DNS_LOGGING_DISABLED

Esse detector verifica se a geração de registros de DNS está ativada na rede VPC.
FLOW_LOGS_DISABLED

Esse detector verifica se os registros de fluxo estão ativados na sub-rede da VPC.
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

Esse detector verifica se a propriedade enableFlowLogs das sub-redes VPC está ausente ou definida como false.

Ver o modelo de postura

Para conferir o modelo de postura para rede VPC, estendido, faça o seguinte:

gcloud

Antes de usar os dados do comando abaixo, faça estas substituições:

  • ORGANIZATION_ID: o ID numérico da organização

Execute o comando gcloud scc posture-templates describe:

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

A resposta contém o modelo de postura.

REST

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • ORGANIZATION_ID: o ID numérico da organização

Método HTTP e URL: 

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Para enviar a solicitação, expanda uma destas opções:

A resposta contém o modelo de postura.

A seguir