תבנית מוגדרת מראש של מצב אבטחה לרשתות VPC, מורחבת

בדף הזה מפורטות המדיניות המונעת והמזהה שכלולות בגרסה 1.0 של תבנית המצב המוגדרת מראש לרשתות ענן וירטואלי פרטי (VPC) מורחבות. תבנית המצב הזו כוללת שני סטים של מדיניות:

  • קבוצת מדיניות שכוללת אילוצים של מדיניות הארגון שחלים על רשתות VPC.

  • קבוצת מדיניות שכוללת גלאים של Security Health Analytics שחלים על רשתות VPC.

אתם יכולים להשתמש בתבנית המוכנה מראש הזו של מצב אבטחה כדי להגדיר מצב אבטחה שיעזור להגן על רשתות VPC. אם רוצים לפרוס את תבנית המצב המוגדרת מראש הזו, צריך להתאים אישית חלק מהמדיניות כדי שהיא תחול על הסביבה שלכם.

מגבלות שקשורות למדיניות הארגון

בטבלה הבאה מתוארים האילוצים של מדיניות הארגון שכלולים במצב הזה.

מדיניות תיאור תקן תאימות
compute.skipDefaultNetworkCreation

האילוץ הבוליאני הזה משבית את היצירה האוטומטית של רשת VPC שמוגדרת כברירת מחדל ושל כללי חומת אש שמוגדרים כברירת מחדל בכל פרויקט חדש, כדי להבטיח שכללי הרשת וחומת האש ייווצרו באופן מכוון.

הערך הוא true כדי למנוע יצירה של רשת VPC שמוגדרת כברירת מחדל.

אמצעי הבקרה NIST SP 800-53: ‏ SC-7 ו-SC-8
ainotebooks.restrictPublicIp

האילוץ הבוליאני הזה מגביל את הגישה לכתובות IP ציבוריות למכונות ולמסמכי notebook חדשים שנוצרו ב-Vertex AI Workbench. כברירת מחדל, כתובות IP ציבוריות יכולות לגשת למסמכי notebook ולמכונות של Vertex AI Workbench.

הערך הוא true כדי להגביל את הגישה לכתובות IP ציבוריות ב-notebooks ובמכונות חדשות של Vertex AI Workbench.

אמצעי הבקרה NIST SP 800-53: ‏ SC-7 ו-SC-8
compute.disableNestedVirtualization

האילוץ הבוליאני הזה משבית את הווירטואליזציה המקוננת בכל המכונות הווירטואליות ב-Compute Engine כדי להפחית את סיכון האבטחה שקשור למופעים מקוננים לא מפוקחים.

הערך הוא true כדי להשבית את הווירטואליזציה המקוננת של המכונה הווירטואלית.

אמצעי הבקרה NIST SP 800-53: ‏ SC-7 ו-SC-8
compute.vmExternalIpAccess

אילוץ הרשימה הזה מגדיר את המכונות הווירטואליות ב-Compute Engine שמורשות להשתמש בכתובות IP חיצוניות. כברירת מחדל, כל המכונות הווירטואליות יכולות להשתמש בכתובות IP חיצוניות. האילוץ הוא בפורמט projects/PROJECT_ID/zones/ZONE/instances/INSTANCE.

חובה להגדיר את הערך הזה כשמשתמשים במצב האבטחה המוגדר מראש הזה.

אמצעי הבקרה NIST SP 800-53: ‏ SC-7 ו-SC-8
ainotebooks.restrictVpcNetworks

ההגבלה הזו על הרשימה מגדירה את רשתות ה-VPC שמשתמש יכול לבחור כשהוא יוצר מכונות חדשות של Vertex AI Workbench שבהן ההגבלה הזו נאכפת.

חובה להגדיר את הערך הזה כשמשתמשים במצב האבטחה המוגדר מראש הזה.

אמצעי הבקרה NIST SP 800-53: ‏ SC-7 ו-SC-8
compute.vmCanIpForward

ההגבלה הזו מגדירה את רשתות ה-VPC שהמשתמש יכול לבחור כשיוצרים מכונות חדשות של Vertex AI Workbench. כברירת מחדל, אפשר ליצור מכונת Vertex AI Workbench עם כל רשת VPC.

חובה להגדיר את הערך הזה כשמשתמשים במצב האבטחה המוגדר מראש הזה.

אמצעי הבקרה NIST SP 800-53: ‏ SC-7 ו-SC-8

גלאים ב-Security Health Analytics

בטבלה הבאה מתוארים הגלאים של Security Health Analytics שכלולים בתבנית המוגדרת מראש של תנוחת האבטחה. מידע נוסף על הגלאים האלה זמין במאמר מציאת נקודות חולשה.

שם המזהה תיאור
FIREWALL_NOT_MONITORED

הגלאי הזה בודק אם מדדי יומן והתראות לא מוגדרים למעקב אחרי שינויים בכללי חומת אש של VPC.

NETWORK_NOT_MONITORED

הגלאי הזה בודק אם מדדי יומן והתראות לא מוגדרים למעקב אחרי שינויים ברשת VPC.

ROUTE_NOT_MONITORED

הגלאי הזה בודק אם מדדי יומן והתראות לא מוגדרים למעקב אחר שינויים בנתיב של רשת VPC.

DNS_LOGGING_DISABLED

הגלאי הזה בודק אם רישום ביומן של DNS מופעל ברשת ה-VPC.

FLOW_LOGS_DISABLED

הגלאי הזה בודק אם יומני תנועה מופעלים ברשת המשנה של ה-VPC.

VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED

הגלאי הזה בודק אם המאפיין enableFlowLogs של רשתות משנה ב-VPC חסר או מוגדר ל-false.

הצגת תבנית המצב

כדי לראות את תבנית המצב של רשתות VPC, מורחבות:

gcloud

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • ORGANIZATION_ID: המזהה המספרי של הארגון.

מריצים את הפקודה gcloud scc posture-templates describe:

‫Linux,‏ macOS או Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

‏Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows‏ (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

התשובה מכילה את תבנית המצב.

REST

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • ORGANIZATION_ID: המזהה המספרי של הארגון.

ה-method של ה-HTTP וכתובת ה-URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

התשובה מכילה את תבנית המצב.

המאמרים הבאים