En esta página, se describen las políticas preventivas y de detección que se incluyen en es la versión v1.0 de la postura predefinida para los Controles del servicio de VPC, extendida. Esta postura incluye dos conjuntos de políticas:
Un conjunto de políticas que incluye políticas de la organización que se aplican a los Controles del servicio de VPC.
Un conjunto de políticas que incluye detectores de Security Health Analytics personalizados que se aplican a los Controles del servicio de VPC.
Puedes usar esta postura predefinida para configurar una postura de seguridad que ayude proteger los Controles del servicio de VPC. Si quieres implementar esta postura predefinida, puedes debes personalizar algunas de las políticas para que se apliquen a tu entorno.
Restricciones de las políticas de la organización
En la siguiente tabla, se describen las políticas de la organización que se incluyen en esta postura.
Política | Descripción | Estándar de cumplimiento |
---|---|---|
compute.skipDefaultNetworkCreation |
Esta inhabilita la creación automática de una red de VPC predeterminada reglas de firewall en cada proyecto nuevo, lo que garantiza que las reglas intencionalmente. El valor es |
Control de NIST SP 800-53: SC-7 y SC-8 |
ainotebooks.restrictPublicIp |
Esta restricción restringe el acceso de IP pública a las instancias y los notebooks de Vertex AI Workbench recién creados. De forma predeterminada, las direcciones IP públicas pueden acceder a los notebooks y las instancias de Vertex AI Workbench. El valor es |
Control de NIST SP 800-53: SC-7 y SC-8 |
compute.disableNestedVirtualization |
Esta política inhabilita la virtualización anidada para todas las VMs de Compute Engine para disminuir el riesgo de seguridad relacionado con instancias anidadas. El valor es |
Control de NIST SP 800-53: SC-7 y SC-8 |
compute.vmExternalIpAccess |
En esta restricción, se definen las instancias de VM de Compute Engine que pueden usar direcciones IP externas. De forma predeterminada, todas las instancias de VM pueden usar direcciones IP externas. La restricción usa el formato Debes configurar este valor cuando adoptes esta postura predefinida. |
Control de NIST SP 800-53: SC-7 y SC-8 |
ainotebooks.restrictVpcNetworks |
Esta lista define Redes de VPC que un usuario puede seleccionar cuando crea una nueva instancia de Vertex AI Workbench instancias en las que se aplica esta restricción. Debes configurar este valor cuando adoptes esta postura predefinida. |
Control de NIST SP 800-53: SC-7 y SC-8 |
compute.vmCanIpForward |
Esta restricción define las redes de VPC que un usuario puede seleccionar cuando crea nuevas instancias de Vertex AI Workbench. De forma predeterminada, puedes crear una instancia de Vertex AI Workbench con cualquier red de VPC. Debes configurar este valor cuando adoptes esta postura predefinida. |
Control de NIST SP 800-53: SC-7 y SC-8 |
Detectores de estadísticas de estado de seguridad
En la siguiente tabla, se describen los detectores de Security Health Analytics que se incluyen en la postura predefinida. Para obtener más información sobre estos detectores, consulta Vulnerabilidad de análisis de datos.
Nombre del detector | Descripción |
---|---|
FIREWALL_NOT_MONITORED |
Este detector verifica si las métricas de registros y las alertas no están configuradas para supervisar los cambios en las reglas de firewall de VPC. |
NETWORK_NOT_MONITORED |
Este detector verifica si las métricas de registros y las alertas no están configuradas para supervisar los cambios en la red de VPC. |
ROUTE_NOT_MONITORED |
Este detector verifica si las métricas y alertas de registro no están configuradas para supervisar los cambios en las rutas de la red de VPC. |
DNS_LOGGING_DISABLED |
Este detector verifica si el registro de DNS está habilitado en la red de VPC. |
FLOW_LOGS_DISABLED |
Este detector verifica si los registros de flujo están habilitados en la subred de VPC. |
VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED |
Este detector verifica si falta la propiedad |
Definición de YAML
A continuación, se muestra la definición YAML de la postura predefinida para los Controles del servicio de VPC.
name: organizations/123/locations/global/postureTemplates/vpcsc_extended
description: VPCSC Posture Template
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: VPCSC preventative policy set
description: 6 org policies that new customers can automatically enable.
policies:
- policy_id: Skip default network creation
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.skipDefaultNetworkCreation
policy_rules:
- enforce: true
description: This boolean constraint skips the creation of the default network and related resources during Google Cloud Platform Project resource creation where this constraint is set to True. By default, a default network and supporting resources are automatically created when creating a Project resource.
- policy_id: Restrict public IP access on new Vertex AI Workbench notebooks and instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: ainotebooks.restrictPublicIp
policy_rules:
- enforce: true
description: This boolean constraint, when enforced, restricts public IP access to newly created Vertex AI Workbench notebooks and instances. By default, public IPs can access Vertex AI Workbench notebooks and instances.
- policy_id: Disable VM nested virtualization
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableNestedVirtualization
policy_rules:
- enforce: true
description: This boolean constraint disables hardware-accelerated nested virtualization for all Compute Engine VMs belonging to the organization, project, or folder where this constraint is set to True. By default, hardware-accelerated nested virtualization is allowed for all Compute Engine VMs running on Intel Haswell or newer CPU platforms.
- policy_id: Define allowed external IPs for VM instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.vmExternalIpAccess
policy_rules:
- values:
allowed_values:
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
description: This list constraint defines the set of Compute Engine VM instances that are allowed to use external IP addresses. By default, all VM instances are allowed to use external IP addresses. The allowed/denied list of VM instances must be identified by the VM instance name, in the form of projects/PROJECT_ID/zones/ZONE/instances/INSTANCE
- policy_id: Restrict VPC networks on new Vertex AI Workbench instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: ainotebooks.restrictVpcNetworks
policy_rules:
- values:
allowed_values:
- is:organizations/ORGANIZATION_ID
- is:folders/FOLDER_ID
- is:projects/PROJECT_ID
- is:projects/PROJECT_ID/global/networks/NETWORK_NAME
description: This list constraint defines the VPC networks a user can select when creating new Vertex AI Workbench instances where this constraint is enforced. By default, a Vertex AI Workbench instance can be created with any VPC networks. The allowed or denied list of networks must be identified in the form of under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, or projects/PROJECT_ID/global/networks/NETWORK_NAME.
- policy_id: Restrict VM IP Forwarding
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.vmCanIpForward
policy_rules:
- values:
allowed_values:
- is:organizations/ORGANIZATION_ID
- is:folders/FOLDER_ID
- is:projects/PROJECT_ID
- is:projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME.
description: This list constraint defines the set of VM instances that can enable IP forwarding. By default, any VM can enable IP forwarding in any virtual network. VM instances must be specified in the form of under:organizations/ORGANIZATION_ID, under:folders/FOLDER_ID, under:projects/PROJECT_ID, or projects/PROJECT_ID/zones/ZONE/instances/INSTANCE-NAME. This constraint is not retroactive.
- policy_set_id: VPCSC detective policy set
description: 6 SHA modules that new customers can automatically enable.
policies:
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED
- policy_id: Flow logs settings not recommended
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED