בדף הזה מפורטות המדיניות המונעת והמזהה שכלולות בגרסה 1.0 של תבנית המצב המוגדרת מראש לרשתות ענן וירטואלי פרטי (VPC) מורחבות. תבנית המצב הזו כוללת שני סטים של מדיניות:
קבוצת מדיניות שכוללת אילוצים של מדיניות הארגון שחלים על רשתות VPC.
קבוצת מדיניות שכוללת גלאים של Security Health Analytics שחלים על רשתות VPC.
אתם יכולים להשתמש בתבנית המוכנה מראש הזו של מצב אבטחה כדי להגדיר מצב אבטחה שיעזור להגן על רשתות VPC. אם רוצים לפרוס את תבנית המצב המוגדרת מראש הזו, צריך להתאים אישית חלק מהמדיניות כדי שהיא תחול על הסביבה שלכם.
מגבלות שקשורות למדיניות הארגון
בטבלה הבאה מתוארים האילוצים של מדיניות הארגון שכלולים במצב הזה.
| מדיניות | תיאור | תקן תאימות |
|---|---|---|
compute.skipDefaultNetworkCreation |
האילוץ הבוליאני הזה משבית את היצירה האוטומטית של רשת VPC שמוגדרת כברירת מחדל ושל כללי חומת אש שמוגדרים כברירת מחדל בכל פרויקט חדש, כדי להבטיח שכללי הרשת וחומת האש ייווצרו באופן מכוון. הערך הוא
|
אמצעי הבקרה NIST SP 800-53: SC-7 ו-SC-8 |
ainotebooks.restrictPublicIp |
האילוץ הבוליאני הזה מגביל את הגישה לכתובות IP ציבוריות למכונות ולמסמכי notebook חדשים שנוצרו ב-Vertex AI Workbench. כברירת מחדל, כתובות IP ציבוריות יכולות לגשת למסמכי notebook ולמכונות של Vertex AI Workbench. הערך הוא |
אמצעי הבקרה NIST SP 800-53: SC-7 ו-SC-8 |
compute.disableNestedVirtualization |
האילוץ הבוליאני הזה משבית את הווירטואליזציה המקוננת בכל המכונות הווירטואליות ב-Compute Engine כדי להפחית את סיכון האבטחה שקשור למופעים מקוננים לא מפוקחים. הערך הוא |
אמצעי הבקרה NIST SP 800-53: SC-7 ו-SC-8 |
compute.vmExternalIpAccess |
אילוץ הרשימה הזה מגדיר את המכונות הווירטואליות ב-Compute Engine שמורשות להשתמש בכתובות IP חיצוניות. כברירת מחדל, כל המכונות הווירטואליות יכולות להשתמש בכתובות IP חיצוניות. האילוץ הוא בפורמט חובה להגדיר את הערך הזה כשמשתמשים במצב האבטחה המוגדר מראש הזה. |
אמצעי הבקרה NIST SP 800-53: SC-7 ו-SC-8 |
ainotebooks.restrictVpcNetworks |
ההגבלה הזו על הרשימה מגדירה את רשתות ה-VPC שמשתמש יכול לבחור כשהוא יוצר מכונות חדשות של Vertex AI Workbench שבהן ההגבלה הזו נאכפת. חובה להגדיר את הערך הזה כשמשתמשים במצב האבטחה המוגדר מראש הזה. |
אמצעי הבקרה NIST SP 800-53: SC-7 ו-SC-8 |
compute.vmCanIpForward |
ההגבלה הזו מגדירה את רשתות ה-VPC שהמשתמש יכול לבחור כשיוצרים מכונות חדשות של Vertex AI Workbench. כברירת מחדל, אפשר ליצור מכונת Vertex AI Workbench עם כל רשת VPC. חובה להגדיר את הערך הזה כשמשתמשים במצב האבטחה המוגדר מראש הזה. |
אמצעי הבקרה NIST SP 800-53: SC-7 ו-SC-8 |
גלאים ב-Security Health Analytics
בטבלה הבאה מתוארים הגלאים של Security Health Analytics שכלולים בתבנית המוגדרת מראש של תנוחת האבטחה. מידע נוסף על הגלאים האלה זמין במאמר מציאת נקודות חולשה.
| שם המזהה | תיאור |
|---|---|
FIREWALL_NOT_MONITORED |
הגלאי הזה בודק אם מדדי יומן והתראות לא מוגדרים למעקב אחרי שינויים בכללי חומת אש של VPC. |
NETWORK_NOT_MONITORED |
הגלאי הזה בודק אם מדדי יומן והתראות לא מוגדרים למעקב אחרי שינויים ברשת VPC. |
ROUTE_NOT_MONITORED |
הגלאי הזה בודק אם מדדי יומן והתראות לא מוגדרים למעקב אחר שינויים בנתיב של רשת VPC. |
DNS_LOGGING_DISABLED |
הגלאי הזה בודק אם רישום ביומן של DNS מופעל ברשת ה-VPC. |
FLOW_LOGS_DISABLED |
הגלאי הזה בודק אם יומני תנועה מופעלים ברשת המשנה של ה-VPC. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
הגלאי הזה בודק אם המאפיין |
הצגת תבנית המצב
כדי לראות את תבנית המצב של רשתות VPC, מורחבות:
gcloud
לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:
-
ORGANIZATION_ID: המזהה המספרי של הארגון.
מריצים את הפקודה gcloud scc posture-templates
describe:
Linux, macOS או Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
Windows (PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
Windows (cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
התשובה מכילה את תבנית המצב.
REST
לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:
-
ORGANIZATION_ID: המזהה המספרי של הארגון.
ה-method של ה-HTTP וכתובת ה-URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended
כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:
התשובה מכילה את תבנית המצב.