Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הטמעה של מודל אבטחה של אפס אמון

Last reviewed 2025-02-05 UTC

העיקרון הזה, שמופיע בעמודת האבטחה של Google Cloud Well-Architected Framework, עוזר לכם להבטיח אבטחה מקיפה בעומסי העבודה בענן. העיקרון של אפס אמון מדגיש את דרכי הפעולה הבאות:

ביטול הרשאות שיתוף משתמעות
החלת העיקרון של הרשאות מינימליות על בקרת גישה
אכיפה של אימות מפורש של כל בקשות הגישה
אימוץ גישה של הנחה של פריצה כדי לאפשר אימות רציף ומעקב אחרי מצב האבטחה

סקירה כללית של העקרונות

במודל אפס אמון, המיקוד באבטחה עובר מאבטחה היקפית לגישה שבה אף משתמש או מכשיר לא נחשבים מהימנים באופן מובנה. במקום זאת, כל בקשת גישה חייבת לעבור אימות, ללא קשר למקור שלה. הגישה הזו כוללת אימות והרשאה של כל משתמש ומכשיר, אימות ההקשר שלהם (מיקום ומצב המכשיר) והענקת הרשאות מינימליות לגישה רק למשאבים הדרושים.

הטמעה של מודל אפס אמון עוזרת לארגון לשפר את מצב האבטחה שלו על ידי צמצום ההשפעה של פרצות פוטנציאליות והגנה על מידע אישי רגיש ועל אפליקציות מפני גישה לא מורשית. מודל אפס-אמון עוזר להבטיח את הסודיות, השלמות והזמינות של נתונים ומשאבים בענן.

המלצות

כדי ליישם את מודל אפס-האמון בעומסי העבודה בענן, כדאי לעיין בהמלצות שבקטעים הבאים:

אבטחת הרשת
אימות מפורש של כל ניסיון גישה
מעקב אחרי הרשת ותחזוקה שלה

אבטחת הרשת

ההמלצה הזו רלוונטית לתחום ההתמקדות הבא: אבטחת תשתית.

כדי לעבור מאבטחה היקפית מסורתית למודל של אפס אמון, צריך לבצע כמה שלבים. יכול להיות שהארגון שלכם כבר שילב אמצעי בקרה מסוימים של אבטחה מבוססת אפס אמון במצב האבטחה שלו. עם זאת, מודל של אפס אמון הוא לא מוצר או פתרון יחיד. במקום זאת, מדובר בשילוב הוליסטי של כמה שכבות אבטחה ושיטות מומלצות. בקטע הזה מתוארות המלצות וטכניקות להטמעה של אפס אמון באבטחת רשת.

בקרת גישה: אפשר לאכוף בקרות גישה על סמך זהות המשתמש וההקשר שלו באמצעות פתרונות כמו Chrome Enterprise Premium ושרת proxy לאימות זהויות (IAP). כך האבטחה עוברת מהרשת ההיקפית למשתמשים ולמכשירים בודדים. הגישה הזו מאפשרת בקרת גישה פרטנית ומצמצמת את פני השטח לתקיפה.
אבטחת רשתות: חיבורי רשת מאובטחים בין סביבות מקומיות, Google Cloudוסביבות מרובות עננים.
- להשתמש בשיטות לקישוריות פרטית מ-Cloud Interconnect ומ-IPsec VPN.
- כדי לאבטח את הגישה ל Google Cloud שירותים ולממשקי API, אפשר להשתמש ב-Private Service Connect.
- כדי לאבטח את הגישה היוצאת מעומסי עבודה שנפרסו ב-Google Kubernetes Engine ‏ (GKE) ובמוצרים קשורים, אפשר להשתמש בשערי יציאה של Cloud Service Mesh.
תכנון הרשת: כדי למנוע סיכוני אבטחה פוטנציאליים, מומלץ למחוק רשתות שמוגדרות כברירת מחדל בפרויקטים קיימים ולהשבית את האפשרות ליצור רשתות שמוגדרות כברירת מחדל בפרויקטים חדשים.
- כדי להימנע מהתנגשויות, חשוב לתכנן בקפידה את הרשת ואת הקצאת כתובות ה-IP.
- כדי לאכוף בקרת גישה יעילה, כדאי להגביל את מספר הרשתות של הענן הווירטואלי הפרטי (VPC) בכל פרויקט.
סגמנטציה: בידוד עומסי העבודה תוך שמירה על ניהול רשת מרכזי.
- כדי לפלח את הרשת, משתמשים ב-VPC משותף.
- הגדרת מדיניות וכללים של חומת אש ברמת הארגון, התיקייה ורשת ה-VPC.
- כדי למנוע זליגת נתונים, מומלץ להגדיר מתחמי אבטחה מסביב לנתונים ולשירותים רגישים באמצעות VPC Service Controls.
אבטחת היקף: הגנה מפני התקפות DDoS ואיומים על אפליקציות אינטרנט.
- כדי להגן על עצמכם מפני איומים, מומלץ להשתמש ב-Google Cloud Armor.
- הגדרת מדיניות אבטחה שמאפשרת, דוחה או מפנה תנועה ב-Google Cloud edge.
אוטומציה: כדי לבצע אוטומציה של הקצאת התשתית, צריך להשתמש בעקרונות של תשתית כקוד (IaC) ובכלים כמו Terraform, ‏ Jenkins ו-Cloud Build. ‫IaC עוזרת להבטיח הגדרות אבטחה עקביות, פריסות פשוטות וחזרה מהירה לגרסה קודמת במקרה של בעיות.
תשתית מאובטחת: כדי ליצור סביבת אפליקציות מאובטחת, אפשר להשתמש בתוכנית הבסיס של Enterprise. בתוכנית הזו מפורטות הנחיות וסקריפטים לאוטומציה שיעזרו לכם להטמיע שיטות מומלצות לאבטחה ולהגדיר אתGoogle Cloud המשאבים שלכם בצורה מאובטחת.

אימות מפורש של כל ניסיון גישה

ההמלצה הזו רלוונטית לתחומי ההתמקדות הבאים:

ניהול זהויות והרשאות גישה
תפעול אבטחה (SecOps)
רישום ביומן, ביקורת ומעקב

הטמעת מנגנוני אימות והרשאה חזקים לכל משתמש, מכשיר או שירות שמנסים לגשת למשאבי הענן שלכם. אל תסתמכו על מיקום או על היקף הרשת כאמצעי בקרה לאבטחה. לא נותנים אמון אוטומטי באף משתמש, מכשיר או שירות, גם אם הם כבר נמצאים בתוך הרשת. במקום זאת, כל ניסיון לגשת למשאבים חייב לעבור אימות קפדני ולקבל אישור. עליכם להטמיע אמצעים חזקים לאימות זהות, כמו אימות רב-שלבי (MFA). עליכם גם לוודא שההחלטות לגבי מתן הרשאת גישה מבוססות על כללי מדיניות מפורטים שמתחשבים במגוון גורמים הקשריים, כמו תפקיד המשתמש, מצב האבטחה של המכשיר והמיקום.

כדי ליישם את ההמלצה הזו, אפשר להשתמש בשיטות, בכלים ובטכנולוגיות הבאים:

ניהול זהויות מאוחד: שימוש בספק זהויות (IdP) יחיד מבטיח ניהול זהויות עקבי בכל הארגון.
- Google Cloud תומך באיחוד עם רוב ספקי הזהויות, כולל Active Directory מקומי. איחוד זהויות מאפשר לכם להרחיב את התשתית הקיימת לניהול זהויות ל- Google Cloud ולהפעיל כניסה יחידה (SSO) למשתמשים.
- אם אין לכם IdP קיים, כדאי לשקול להשתמש ב-Cloud Identity Premium או ב-Google Workspace.
הרשאות מוגבלות לחשבון שירות: חשוב להשתמש בחשבונות שירות בזהירות, ולפעול לפי העיקרון של הרשאות מינימליות.
- צריך להעניק לכל חשבון שירות רק את ההרשאות הנדרשות לביצוע המשימות שהוגדרו לו.
- משתמשים באיחוד שירותי אימות הזהות של עומסי עבודה בשביל אפליקציות שפועלות ב-Google Kubernetes Engine ‏ (GKE) או מחוץ ל-Google Cloud כדי לגשת למשאבים בצורה מאובטחת.
תהליכים חזקים: חשוב לעדכן את תהליכי הזהות כך שיתאימו לשיטות המומלצות לאבטחת ענן.
- כדי לעמוד בדרישות החוק, כדאי להטמיע ניהול זהויות כדי לעקוב אחרי גישה, סיכונים והפרות מדיניות.
- בודקים ומעדכנים את התהליכים הקיימים למתן הרשאות ולביקורת של תפקידים והרשאות לבקרת גישה.
אימות חזק: הטמעת SSO לאימות משתמשים והטמעת MFA לחשבונות עם הרשאות מיוחדות.
- ‫Google Cloud תומך בשיטות שונות של MFA, כולל מפתחות אבטחה Titan, כדי לשפר את האבטחה.
- לאימות עומסי עבודה, משתמשים ב-OAuth 2.0 או באסימוני JWT (‏JSON Web Tokens) חתומים.
הרשאות מינימליות: כדי לצמצם את הסיכון לגישה לא מורשית ולפרצות אבטחה בנתונים, חשוב לאכוף את העיקרון של הרשאות מינימליות והפרדה בין תפקידים.
- חשוב להימנע מהקצאת הרשאות גישה למשתמשים שלא צריכים אותן.
- כדאי להטמיע גישה מורשית בדיוק בזמן לפעולות רגישות.
רישום ביומן: הפעלת רישום ביומן ביקורת של פעילויות של אדמינים ושל גישה לנתונים.
- כדי לנתח את היומנים ולזהות איומים, אפשר לסרוק אותם באמצעות Security Command Center Enterprise או Google Security Operations.
- הגדרת מדיניות מתאימה לשמירת יומנים כדי לאזן בין צורכי האבטחה לבין עלויות האחסון.

מעקב ותחזוקה של הרשת

ההמלצה הזו רלוונטית לתחומי ההתמקדות הבאים:

רישום ביומן, ביקורת ומעקב
אבטחת אפליקציות
תפעול אבטחה (SecOps)
אבטחת התשתית

כשמתכננים ומיישמים אמצעי אבטחה, צריך להניח שתוקף כבר נמצא בסביבה שלכם. הגישה הפרואקטיבית הזו כוללת שימוש בכמה כלים וטכניקות כדי לספק תובנות לגבי הרשת שלכם:

רישום ביומן ומעקב באופן מרוכז: איסוף וניתוח של יומני אבטחה מכל משאבי הענן באמצעות רישום ביומן ומעקב באופן מרוכז.
- להגדיר ערכי בסיס להתנהגות רגילה ברשת, לזהות אנומליות ולאתר איומים פוטנציאליים.
- ניתוח רציף של זרימות תעבורת הרשת כדי לזהות דפוסים חשודים והתקפות פוטנציאליות.
תובנות לגבי ביצועי הרשת והאבטחה: אפשר להשתמש בכלים כמו Network Analyzer. עוקבים אחרי התנועה כדי לזהות פרוטוקולים חריגים, חיבורים לא צפויים או עליות פתאומיות בהעברת נתונים, שיכולים להעיד על פעילות זדונית.
סריקה של נקודות חולשה ותיקון שלהן: חשוב לסרוק את הרשת והאפליקציות באופן קבוע כדי לאתר נקודות חולשה.
- אפשר להשתמש ב-Web Security Scanner, שיכול לזהות באופן אוטומטי נקודות חולשה במופעי Compute Engine, במאגרי מידע ובאשכולות GKE.
- כדאי לתת עדיפות לתיקון בהתאם לחומרת נקודות החולשה ולהשפעה הפוטנציאלית שלהן על המערכות.
גילוי חדירות: מעקב אחרי תעבורת נתונים ברשת כדי לזהות פעילות זדונית וחסימה אוטומטית של אירועים חשודים, או קבלת התראות על אירועים כאלה באמצעות Cloud IDS ושירות מניעת החדירות Cloud NGFW.
ניתוח אבטחה: מומלץ להטמיע את Google SecOps כדי ליצור קורלציה בין אירועי אבטחה ממקורות שונים, לספק ניתוח בזמן אמת של התראות אבטחה ולסייע בתגובה לאירועים.
הגדרות עקביות: כדי לוודא שיש לכם הגדרות אבטחה עקביות ברשת, כדאי להשתמש בכלי ניהול הגדרות.

הטמעה של אבטחה משלב התכנון

הטמעה של אבטחה מוקדמת

הטמעה של מודל אבטחה של אפס אמון קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.