VPC 서비스 제어의 사전 정의된 상황, 필수 요소

이 페이지에서는 VPC 서비스 제어를 위한 사전 정의된 상황(필수 요소)의 v1.0 버전에 포함된 예방 및 감지 정책에 대해 설명합니다. 이 상황에는 두 가지 정책 집합이 포함됩니다.

VPC 서비스 제어에 적용되는 조직 정책을 포함하는 정책 집합
VPC 서비스 제어에 적용되는 커스텀 Security Health Analytics 감지기를 포함하는 정책 집합

이 사전 정의된 상황을 사용해서 VPC 서비스 제어 보호에 도움이 되는 보안 상황을 구성할 수 있습니다. 이 사전 정의된 상황은 변경하지 않고 배포할 수 있습니다.

조직 정책 제약조건

다음 표에서는 이 상황에 포함된 조직 정책에 대해 설명합니다.

정책 설명 규정 준수 표준

정책	설명	규정 준수 표준
`compute.skipDefaultNetworkCreation`	이 정책은 각각의 새로운 프로젝트에서 기본 VPC 네트워크 및 기존 방화벽 규칙이 자동으로 생성되지 않도록 방지하여 네트워크 및 방화벽 규칙이 의도한 대로 생성될 수 있도록 보장합니다. 값은 `true`이며 기본 VPC 네트워크가 생성되지 않도록 방지합니다.	NIST SP 800-53 제어: SC-7 및 SC-8
`ainotebooks.restrictPublicIp`	이 제약조건은 새로 만든 Vertex AI Workbench 노트북 및 인스턴스에 대한 공개 IP 액세스를 제한합니다. 기본적으로 공개 IP 주소는 Vertex AI Workbench 노트북 및 인스턴스에 액세스할 수 있습니다. 값은 `true`이며 새로운 Vertex AI Workbench 노트북 및 인스턴스에서 공개 IP 주소를 제한합니다.	NIST SP 800-53 제어: SC-7 및 SC-8
`compute.disableNestedVirtualization`	이 정책은 모니터링되지 않은 중첩된 인스턴스와 관련된 보안 위험을 줄이기 위해 모든 Compute Engine VM에 대해 중첩된 가상화를 사용 중지합니다. 값은 `true`이며 VM 중첩된 가상화를 사용 중지합니다.	NIST SP 800-53 제어: SC-7 및 SC-8

compute.skipDefaultNetworkCreation

이 정책은 각각의 새로운 프로젝트에서 기본 VPC 네트워크 및 기존 방화벽 규칙이 자동으로 생성되지 않도록 방지하여 네트워크 및 방화벽 규칙이 의도한 대로 생성될 수 있도록 보장합니다.

값은 true이며 기본 VPC 네트워크가 생성되지 않도록 방지합니다.

NIST SP 800-53 제어: SC-7 및 SC-8

ainotebooks.restrictPublicIp

이 제약조건은 새로 만든 Vertex AI Workbench 노트북 및 인스턴스에 대한 공개 IP 액세스를 제한합니다. 기본적으로 공개 IP 주소는 Vertex AI Workbench 노트북 및 인스턴스에 액세스할 수 있습니다.

값은 true이며 새로운 Vertex AI Workbench 노트북 및 인스턴스에서 공개 IP 주소를 제한합니다.

NIST SP 800-53 제어: SC-7 및 SC-8

compute.disableNestedVirtualization

이 정책은 모니터링되지 않은 중첩된 인스턴스와 관련된 보안 위험을 줄이기 위해 모든 Compute Engine VM에 대해 중첩된 가상화를 사용 중지합니다.

값은 true이며 VM 중첩된 가상화를 사용 중지합니다.

NIST SP 800-53 제어: SC-7 및 SC-8

Security Health Analytics 감지기

다음 표에서는 사전 정의된 상황에 포함된 Security Health Analytics 감지기에 대해 설명합니다. 이러한 감지기에 대한 자세한 내용은 취약점 발견 항목을 참조하세요.

감지기 이름	설명
`FIREWALL_NOT_MONITORED`	이 감지기는 로그 측정항목 및 알림이 VPC 방화벽 규칙 변경사항을 모니터링하도록 구성되지 않았는지 확인합니다.
`NETWORK_NOT_MONITORED`	이 감지기는 로그 측정항목 및 알림이 VPC 네트워크 변경사항을 모니터링하도록 구성되지 않았는지 확인합니다.
`ROUTE_NOT_MONITORED`	이 감지기는 로그 측정항목 및 알림이 VPC 네트워크 경로 변경사항을 모니터링하도록 구성되지 않았는지 확인합니다.
`DNS_LOGGING_DISABLED`	이 감지기는 VPC 네트워크에서 DNS 로깅이 사용 설정되었는지 확인합니다.
`FLOW_LOGS_DISABLED`	이 감지기는 VPC 서브네트워크에서 흐름 로그가 사용 설정되었는지 확인합니다.

YAML 정의

다음은 VPC 서비스 제어의 사전 정의된 상황에 대한 YAML 정의입니다.

name: organizations/123/locations/global/postureTemplates/vpcsc_essential
description: VPCSC Posture Template
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: VPCSC preventative policy set
  description: 3 org policies that new customers can automatically enable.
  policies:
  - policy_id: Skip default network creation
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.skipDefaultNetworkCreation
        policy_rules:
        - enforce: true
    description: This boolean constraint skips the creation of the default network and related resources during Google Cloud Platform Project resource creation where this constraint is set to True. By default, a default network and supporting resources are automatically created when creating a Project resource.
  - policy_id: Restrict public IP access on new Vertex AI Workbench notebooks and instances
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: ainotebooks.restrictPublicIp
        policy_rules:
        - enforce: true
    description: This boolean constraint, when enforced, restricts public IP access to newly created Vertex AI Workbench notebooks and instances. By default, public IPs can access Vertex AI Workbench notebooks and instances.
  - policy_id: Disable VM nested virtualization
    compliance_standards:
    - standard: NIST SP 800-53
      control: SC-7
    - standard: NIST SP 800-53
      control: SC-8
    constraint:
      org_policy_constraint:
        canned_constraint_id: compute.disableNestedVirtualization
        policy_rules:
        - enforce: true
    description: This boolean constraint disables hardware-accelerated nested virtualization for all Compute Engine VMs belonging to the organization, project, or folder where this constraint is set to True. By default, hardware-accelerated nested virtualization is allowed for all Compute Engine VMs running on Intel Haswell or newer CPU platforms.
- policy_set_id: VPCSC detective policy set
  description: 5 SHA modules that new customers can automatically enable.
  policies:
  - policy_id: Firewall not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: FIREWALL_NOT_MONITORED
  - policy_id: Network not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: NETWORK_NOT_MONITORED
  - policy_id: Route not monitored
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: ROUTE_NOT_MONITORED
  - policy_id: DNS logging disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: DNS_LOGGING_DISABLED
  - policy_id: Flow logs disabled
    constraint:
      securityHealthAnalyticsModule:
        moduleEnablementState: ENABLED
        moduleName: FLOW_LOGS_DISABLED

다음 단계

이 사전 정의된 상황을 사용하여 보안 상황 만들기