מצב מוגדר מראש ל-VPC Networking, מורחב

בדף הזה מוסבר על מדיניות מניעתית ומדיניות לזיהוי בעיות שכלולות בגרסה 1.0 של המצב המוגדר מראש של רשתות ענן וירטואלי פרטי (VPC), מורחב. התפיסה הזו כוללת שני סטים של מדיניות:

קבוצת מדיניות שכוללת מגבלות של מדיניות הארגון שחלות על רשתות VPC.
קבוצת מדיניות שכוללת גלאים של Security Health Analytics שחלים על רשתות VPC.

אתם יכולים להשתמש במצב המוגדר מראש הזה כדי להגדיר מצב אבטחה שיעזור להגן על רשתות VPC. אם רוצים לפרוס את המצב המוגדר מראש הזה, צריך להתאים אישית חלק מהמדיניות כדי שהיא תחול על הסביבה שלכם.

מגבלות שקשורות למדיניות הארגון

בטבלה הבאה מתוארות המגבלות של מדיניות הארגון שכלולות במצב הזה.

מדיניות	תיאור	תקן תאימות
`compute.skipDefaultNetworkCreation`	האילוץ הבוליאני הזה משבית את היצירה האוטומטית של רשת VPC שמוגדרת כברירת מחדל ושל כללי חומת אש שמוגדרים כברירת מחדל בכל פרויקט חדש, וכך מבטיח שכללי הרשת וכללי חומת האש ייווצרו בכוונה. הערך הוא `true` כדי למנוע יצירה של רשת VPC שמוגדרת כברירת מחדל.	אמצעי הבקרה NIST SP 800-53: ‏ SC-7 ו-SC-8
`ainotebooks.restrictPublicIp`	האילוץ הבוליאני הזה מגביל את הגישה לכתובות IP ציבוריות למכונות ולמסמכי notebook חדשים שנוצרו ב-Vertex AI Workbench. כברירת מחדל, כתובות IP ציבוריות יכולות לגשת למסמכי notebook ולמכונות של Vertex AI Workbench. הערך הוא `true` כדי להגביל את הגישה לכתובות IP ציבוריות ב-notebooks ובמכונות חדשות של Vertex AI Workbench.	אמצעי הבקרה NIST SP 800-53: ‏ SC-7 ו-SC-8
`compute.disableNestedVirtualization`	האילוץ הבוליאני הזה משבית את הווירטואליזציה המקוננת בכל המכונות הווירטואליות ב-Compute Engine כדי להפחית את סיכון האבטחה שקשור למופעים מקוננים לא מפוקחים. הערך הוא `true` כדי להשבית את הווירטואליזציה המקוננת של מכונת ה-VM.	אמצעי הבקרה NIST SP 800-53: ‏ SC-7 ו-SC-8
`compute.vmExternalIpAccess`	אילוץ הרשימה הזה מגדיר את המכונות הווירטואליות ב-Compute Engine שמורשות להשתמש בכתובות IP חיצוניות. כברירת מחדל, כל המכונות הווירטואליות יכולות להשתמש בכתובות IP חיצוניות. האילוץ הוא בפורמט `projects/PROJECT_ID/zones/ZONE/instances/INSTANCE`. חובה להגדיר את הערך הזה כשמשתמשים במצב המוגדר מראש הזה.	אמצעי הבקרה NIST SP 800-53: ‏ SC-7 ו-SC-8
`ainotebooks.restrictVpcNetworks`	ההגבלה הזו על הרשימה מגדירה את רשתות ה-VPC שמשתמש יכול לבחור כשהוא יוצר מופעים חדשים של Vertex AI Workbench שבהם ההגבלה הזו נאכפת. חובה להגדיר את הערך הזה כשמשתמשים במצב המוגדר מראש הזה.	אמצעי הבקרה NIST SP 800-53: ‏ SC-7 ו-SC-8
`compute.vmCanIpForward`	ההגבלה הזו על הרשימה מגדירה את רשתות ה-VPC שמשתמש יכול לבחור כשהוא יוצר מופעים חדשים של Vertex AI Workbench. כברירת מחדל, אפשר ליצור מכונת Vertex AI Workbench עם כל רשת VPC. חובה להגדיר את הערך הזה כשמשתמשים במצב המוגדר מראש הזה.	אמצעי הבקרה NIST SP 800-53: ‏ SC-7 ו-SC-8

גלאים ב-Security Health Analytics

בטבלה הבאה מתוארים הגלאים של Security Health Analytics שכלולים במצב האבטחה המוגדר מראש. מידע נוסף על הגלאים האלה זמין במאמר מציאת נקודות חולשה.

שם המזהה	תיאור
`FIREWALL_NOT_MONITORED`	הגלאי הזה בודק אם מדדי היומן וההתראות לא מוגדרים למעקב אחרי שינויים בכללי חומת האש של VPC.
`NETWORK_NOT_MONITORED`	הגלאי הזה בודק אם מדדי יומן והתראות לא מוגדרים למעקב אחרי שינויים ברשת VPC.
`ROUTE_NOT_MONITORED`	הגלאי הזה בודק אם מדדי היומן וההתראות לא מוגדרים למעקב אחרי שינויים בנתיב של רשת VPC.
`DNS_LOGGING_DISABLED`	הגלאי הזה בודק אם רישום ביומן של DNS מופעל ברשת ה-VPC.
`FLOW_LOGS_DISABLED`	הגלאי הזה בודק אם יומני זרימה מופעלים ברשת המשנה של ה-VPC.
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	הכלי הזה בודק אם המאפיין `enableFlowLogs` של רשתות משנה ב-VPC חסר או מוגדר כ-`false`.

הצגת תבנית המצב

כדי לראות את תבנית המצב של רשתות VPC, מורחבות:

gcloud

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

‫ORGANIZATION_ID: המזהה המספרי של הארגון

מריצים את הפקודה gcloud scc posture-templates describe:

‫Linux,‏ macOS או Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

‏Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

Windows‏ (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

התשובה מכילה את תבנית המצב.

REST

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

‫ORGANIZATION_ID: המזהה המספרי של הארגון

ה-method של ה-HTTP וכתובת ה-URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended

כדי לשלוח את הבקשה צריך להרחיב אחת מהאפשרויות הבאות:

‫Curl (Linux,‏ macOS או Cloud Shell)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login, או באמצעות Cloud Shell שמחבר אתכם אוטומטית ל-CLI של gcloud. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended"

‎PowerShell (Windows)

הערה: הפקודה הבאה מבוססת על ההנחה שנכנסתם ל-CLI של gcloud באמצעות חשבון המשתמש שלכם, על ידי הרצת gcloud init או gcloud auth login. כדי לבדוק איזה חשבון פעיל, אפשר להריץ את הפקודה gcloud auth list.

מריצים את הפקודה הבאה:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_extended" | Select-Object -Expand Content

התשובה מכילה את תבנית המצב.

המאמרים הבאים

יצירת מצב אבטחה באמצעות המצב המוגדר מראש הזה.

מצב מוגדר מראש ל-VPC Networking, מורחב קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

מגבלות שקשורות למדיניות הארגון

גלאים ב-Security Health Analytics

הצגת תבנית המצב

gcloud

‫Linux,‏ macOS או Cloud Shell

‏Windows (PowerShell)

Windows‏ (cmd.exe)

REST

‫Curl (Linux,‏ macOS או Cloud Shell)

‎PowerShell (Windows)

המאמרים הבאים

מצב מוגדר מראש ל-VPC Networking, מורחב