Questa pagina descrive i criteri di prevenzione e rilevamento inclusi nella versione v1.0 della postura predefinita per i Controlli di servizio VPC estesa. Questa postura include due set di criteri:
Un set di criteri che include i criteri dell'organizzazione che si applicano ai Controlli di servizio VPC.
Un set di criteri che include rilevatori di Security Health Analytics personalizzati applicabili ai Controlli di servizio VPC.
Puoi utilizzare questa postura predefinita per configurare una strategia di sicurezza che aiuti a proteggere i Controlli di servizio VPC. Se vuoi eseguire il deployment di questa postura predefinita, devi personalizzare alcuni criteri in modo da applicarli al tuo ambiente.
Vincoli dei criteri dell'organizzazione
La tabella seguente descrive i criteri dell'organizzazione inclusi in questa postura.
Criterio | Descrizione | Standard di conformità |
---|---|---|
compute.skipDefaultNetworkCreation |
Questo criterio disabilita la creazione automatica di una rete VPC predefinita e di regole firewall predefinite in ogni nuovo progetto, garantendo che le regole di rete e firewall vengano create intenzionalmente. Il valore è |
Controllo NIST SP 800-53: SC-7 e SC-8 |
ainotebooks.restrictPublicIp |
Questo vincolo limita l'accesso degli IP pubblici alle istanze e ai blocchi note di Vertex AI Workbench appena creati. Per impostazione predefinita, gli indirizzi IP pubblici possono accedere alle istanze e ai blocchi note di Vertex AI Workbench. Il valore è |
Controllo NIST SP 800-53: SC-7 e SC-8 |
compute.disableNestedVirtualization |
Questo criterio disattiva la virtualizzazione nidificata per tutte le VM di Compute Engine al fine di ridurre il rischio per la sicurezza relativo alle istanze nidificate non monitorate. Il valore |
Controllo NIST SP 800-53: SC-7 e SC-8 |
compute.vmExternalIpAccess |
Questo vincolo definisce le istanze VM di Compute Engine autorizzate a utilizzare indirizzi IP esterni. Per impostazione predefinita, tutte le istanze VM possono utilizzare indirizzi IP esterni. Il vincolo utilizza il formato Devi configurare questo valore quando adotti questa postura predefinita. |
Controllo NIST SP 800-53: SC-7 e SC-8 |
ainotebooks.restrictVpcNetworks |
Questo elenco definisce le reti VPC che un utente può selezionare quando crea nuove istanze di Vertex AI Workbench in cui questo vincolo è applicato. Devi configurare questo valore quando adotti questa postura predefinita. |
Controllo NIST SP 800-53: SC-7 e SC-8 |
compute.vmCanIpForward |
Questo vincolo definisce le reti VPC che un utente può selezionare quando crea nuove istanze di Vertex AI Workbench. Per impostazione predefinita, puoi creare un'istanza di Vertex AI Workbench con qualsiasi rete VPC. Devi configurare questo valore quando adotti questa postura predefinita. |
Controllo NIST SP 800-53: SC-7 e SC-8 |
Rilevatori Security Health Analytics
La tabella seguente descrive i rilevatori di Security Health Analytics inclusi nella postura predefinita. Per ulteriori informazioni su questi rilevatori, consulta Risultati di vulnerabilità.
Nome rilevatore | Descrizione |
---|---|
FIREWALL_NOT_MONITORED |
Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle regole del firewall VPC. |
NETWORK_NOT_MONITORED |
Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alla rete VPC. |
ROUTE_NOT_MONITORED |
Questo rilevatore controlla se le metriche di log e gli avvisi non sono configurati per monitorare le modifiche alle route di rete VPC. |
DNS_LOGGING_DISABLED |
Questo rilevatore verifica se il logging DNS è abilitato sulla rete VPC. |
FLOW_LOGS_DISABLED |
Questo rilevatore verifica se i log di flusso sono abilitati nella subnet VPC. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Questo rilevatore verifica se la proprietà |
Definizione YAML
Di seguito è riportata la definizione YAML della postura predefinita per i Controlli di servizio VPC.
name: organizations/123/locations/global/postureTemplates/vpcsc_extended
description: VPCSC Posture Template
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: VPCSC preventative policy set
description: 6 org policies that new customers can automatically enable.
policies:
- policy_id: Skip default network creation
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.skipDefaultNetworkCreation
policy_rules:
- enforce: true
description: This boolean constraint skips the creation of the default network and related resources during Google Cloud Platform Project resource creation where this constraint is set to True. By default, a default network and supporting resources are automatically created when creating a Project resource.
- policy_id: Restrict public IP access on new Vertex AI Workbench notebooks and instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: ainotebooks.restrictPublicIp
policy_rules:
- enforce: true
description: This boolean constraint, when enforced, restricts public IP access to newly created Vertex AI Workbench notebooks and instances. By default, public IPs can access Vertex AI Workbench notebooks and instances.
- policy_id: Disable VM nested virtualization
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableNestedVirtualization
policy_rules:
- enforce: true
description: This boolean constraint disables hardware-accelerated nested virtualization for all Compute Engine VMs belonging to the organization, project, or folder where this constraint is set to True. By default, hardware-accelerated nested virtualization is allowed for all Compute Engine VMs running on Intel Haswell or newer CPU platforms.
- policy_id: Define allowed external IPs for VM instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.vmExternalIpAccess
policy_rules:
- values:
allowed_values:
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
description: This list constraint defines the set of Compute Engine VM instances that are allowed to use external IP addresses. By default, all VM instances are allowed to use external IP addresses. The allowed/denied list of VM instances must be identified by the VM instance name, in the form of projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
- policy_id: Restrict VPC networks on new Vertex AI Workbench instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: ainotebooks.restrictVpcNetworks
policy_rules:
- values:
allowed_values:
- is:organizations/ORGANIZATION_ID
- is:folders/FOLDER_ID
- is:projects/PROJECT_ID
- is:projects/PROJECT_ID/global/networks/NETWORK_NAME
description: This list constraint defines the VPC networks a user can select when creating new Vertex AI Workbench instances where this constraint is enforced. By default, a Vertex AI Workbench instance can be created with any VPC networks. The allowed or denied list of networks must be identified in the form of under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, or projects/PROJECT_ID/global/networks/NETWORK_NAME.
- policy_id: Restrict VM IP Forwarding
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.vmCanIpForward
policy_rules:
- values:
allowed_values:
- is:organizations/ORGANIZATION_ID
- is:folders/FOLDER_ID
- is:projects/PROJECT_ID
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME.
description: This list constraint defines the set of VM instances that can enable IP forwarding. By default, any VM can enable IP forwarding in any virtual network. VM instances must be specified in the form of under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, or projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. This constraint is not retroactive.
- policy_set_id: VPCSC detective policy set
description: 6 SHA modules that new customers can automatically enable.
policies:
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED
- policy_id: Flow logs settings not recommended
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED