이 페이지에서는 VPC 서비스 제어를 위한 사전 정의된 상황(필수 요소)의 v1.0 버전에 포함된 예방 및 감지 정책에 대해 설명합니다. 이 상황에는 두 가지 정책 집합이 포함됩니다.
VPC 서비스 제어에 적용되는 조직 정책을 포함하는 정책 집합
VPC 서비스 제어에 적용되는 커스텀 Security Health Analytics 감지기를 포함하는 정책 집합
이 사전 정의된 상황을 사용해서 VPC 서비스 제어 보호에 도움이 되는 보안 상황을 구성할 수 있습니다. 이 사전 정의된 상황은 변경하지 않고 배포할 수 있습니다.
조직 정책 제약조건
다음 표에서는 이 상황에 포함된 조직 정책에 대해 설명합니다.
정책 | 설명 | 규정 준수 표준 |
---|---|---|
compute.skipDefaultNetworkCreation |
이 정책은 각각의 새로운 프로젝트에서 기본 VPC 네트워크 및 기존 방화벽 규칙이 자동으로 생성되지 않도록 방지하여 네트워크 및 방화벽 규칙이 의도한 대로 생성될 수 있도록 보장합니다. 값은 |
NIST SP 800-53 제어: SC-7 및 SC-8 |
ainotebooks.restrictPublicIp |
이 제약조건은 새로 만든 Vertex AI Workbench 노트북 및 인스턴스에 대한 공개 IP 액세스를 제한합니다. 기본적으로 공개 IP 주소는 Vertex AI Workbench 노트북 및 인스턴스에 액세스할 수 있습니다. 값은 |
NIST SP 800-53 제어: SC-7 및 SC-8 |
compute.disableNestedVirtualization |
이 정책은 모니터링되지 않은 중첩된 인스턴스와 관련된 보안 위험을 줄이기 위해 모든 Compute Engine VM에 대해 중첩된 가상화를 사용 중지합니다. 값은 |
NIST SP 800-53 제어: SC-7 및 SC-8 |
Security Health Analytics 감지기
다음 표에서는 사전 정의된 상황에 포함된 Security Health Analytics 감지기에 대해 설명합니다. 이러한 감지기에 대한 자세한 내용은 취약점 발견 항목을 참조하세요.
감지기 이름 | 설명 |
---|---|
FIREWALL_NOT_MONITORED |
이 감지기는 로그 측정항목 및 알림이 VPC 방화벽 규칙 변경사항을 모니터링하도록 구성되지 않았는지 확인합니다. |
NETWORK_NOT_MONITORED |
이 감지기는 로그 측정항목 및 알림이 VPC 네트워크 변경사항을 모니터링하도록 구성되지 않았는지 확인합니다. |
ROUTE_NOT_MONITORED |
이 감지기는 로그 측정항목 및 알림이 VPC 네트워크 경로 변경사항을 모니터링하도록 구성되지 않았는지 확인합니다. |
DNS_LOGGING_DISABLED |
이 감지기는 VPC 네트워크에서 DNS 로깅이 사용 설정되었는지 확인합니다. |
FLOW_LOGS_DISABLED |
이 감지기는 VPC 서브네트워크에서 흐름 로그가 사용 설정되었는지 확인합니다. |
YAML 정의
다음은 VPC 서비스 제어의 사전 정의된 상황에 대한 YAML 정의입니다.
name: organizations/123/locations/global/postureTemplates/vpcsc_essential
description: VPCSC Posture Template
revision_id: v.1.0
state: ACTIVE
policy_sets:
- policy_set_id: VPCSC preventative policy set
description: 3 org policies that new customers can automatically enable.
policies:
- policy_id: Skip default network creation
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.skipDefaultNetworkCreation
policy_rules:
- enforce: true
description: This boolean constraint skips the creation of the default network and related resources during Google Cloud Platform Project resource creation where this constraint is set to True. By default, a default network and supporting resources are automatically created when creating a Project resource.
- policy_id: Restrict public IP access on new Vertex AI Workbench notebooks and instances
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: ainotebooks.restrictPublicIp
policy_rules:
- enforce: true
description: This boolean constraint, when enforced, restricts public IP access to newly created Vertex AI Workbench notebooks and instances. By default, public IPs can access Vertex AI Workbench notebooks and instances.
- policy_id: Disable VM nested virtualization
compliance_standards:
- standard: NIST SP 800-53
control: SC-7
- standard: NIST SP 800-53
control: SC-8
constraint:
org_policy_constraint:
canned_constraint_id: compute.disableNestedVirtualization
policy_rules:
- enforce: true
description: This boolean constraint disables hardware-accelerated nested virtualization for all Compute Engine VMs belonging to the organization, project, or folder where this constraint is set to True. By default, hardware-accelerated nested virtualization is allowed for all Compute Engine VMs running on Intel Haswell or newer CPU platforms.
- policy_set_id: VPCSC detective policy set
description: 5 SHA modules that new customers can automatically enable.
policies:
- policy_id: Firewall not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FIREWALL_NOT_MONITORED
- policy_id: Network not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: NETWORK_NOT_MONITORED
- policy_id: Route not monitored
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: ROUTE_NOT_MONITORED
- policy_id: DNS logging disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: DNS_LOGGING_DISABLED
- policy_id: Flow logs disabled
constraint:
securityHealthAnalyticsModule:
moduleEnablementState: ENABLED
moduleName: FLOW_LOGS_DISABLED