Stratégie prédéfinie pour la mise en réseau VPC : principes de base

Cette page décrit les règles de prévention et de détection incluses dans La version 1.0 de la stratégie prédéfinie pour le cloud privé virtuel (VPC) le réseautage, les éléments essentiels. Cette stratégie comprend deux ensembles de règles:

  • Un ensemble de règles qui inclut des contraintes de règle d'administration qui s'appliquent à la mise en réseau VPC.

  • Un ensemble de règles qui inclut les détecteurs Security Health Analytics qui s'appliquent à la mise en réseau VPC.

Vous pouvez utiliser cette stratégie prédéfinie pour configurer une stratégie de sécurité protéger les réseaux VPC. Vous pouvez déployer cette stratégie prédéfinie sans y apporter de modifications.

Contraintes liées aux règles d'administration

Le tableau suivant décrit les contraintes liées aux règles d'administration incluses dans cette stratégie.

Règle Description Norme de conformité
compute.skipDefaultNetworkCreation

Cette contrainte booléenne désactive la création automatique d'un objet des règles de réseau VPC et de pare-feu par défaut dans chaque nouveau projet, garantissant des règles de réseau et de pare-feu sont créées intentionnellement.

La valeur est true pour éviter de créer le réseau VPC par défaut.

Contrôle NIST SP 800-53: SC-7 et SC-8
ainotebooks.restrictPublicIp

Cette contrainte booléenne limite l'accès depuis des adresses IP publiques aux instances et notebooks Vertex AI Workbench nouvellement créés. Par défaut, les adresses IP publiques peuvent accéder aux notebooks et instances Vertex AI Workbench.

La valeur est true pour restreindre l'accès des adresses IP publiques Notebooks et instances Vertex AI Workbench.

Contrôle NIST SP 800-53: SC-7 et SC-8
compute.disableNestedVirtualization

Cette contrainte booléenne désactive la virtualisation imbriquée pour tous des VM Compute Engine pour réduire le risque de sécurité lié aux des instances imbriquées.

La valeur est true pour désactiver la virtualisation imbriquée de la VM.

Contrôle NIST SP 800-53: SC-7 et SC-8

Détecteurs Security Health Analytics

Le tableau suivant décrit les détecteurs Security Health Analytics inclus dans la stratégie prédéfinie. Pour en savoir plus sur ces détecteurs, consultez la page Résultats concernant les failles.

Nom du détecteur Description
FIREWALL_NOT_MONITORED

Ce détecteur vérifie si les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications apportées aux règles de pare-feu VPC.

NETWORK_NOT_MONITORED

Ce détecteur vérifie si les métriques de journal et les alertes ne sont pas configurées pour surveiller les modifications apportées au réseau VPC.

ROUTE_NOT_MONITORED

Ce détecteur vérifie si les métriques et les alertes de journal ne sont pas configurées pour surveiller les modifications apportées à la route de réseau VPC.

DNS_LOGGING_DISABLED

Ce détecteur vérifie si la journalisation DNS est activée sur le réseau VPC.

FLOW_LOGS_DISABLED

Ce détecteur vérifie si les journaux de flux sont activés sur le sous-réseau VPC.

Afficher le modèle de posture

Pour afficher le modèle d'évaluation de la conformité pour les éléments essentiels de la mise en réseau VPC, procédez comme suit :

gcloud

Avant d'utiliser les données de la commande ci-dessous, effectuez les remplacements suivants :

  • ORGANIZATION_ID : ID numérique de l'organisation

Exécutez la gcloud scc posture-templates describe :

Linux, macOS ou Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Windows (cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

La réponse contient le modèle de stratégie.

REST

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

  • ORGANIZATION_ID: ID numérique de l'organisation

Méthode HTTP et URL :

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/vpc_networking_essential

Pour envoyer votre requête, développez l'une des options suivantes :

La réponse contient le modèle de stratégie.

Étape suivante