Well-Architected Framework 的安全核心中的这一原则可帮助您确保云工作负载的全面安全性。Google Cloud 零信任原则强调以下实践:
- 消除隐式信任
- 将最小权限原则应用于访问权限控制
- 强制执行对所有访问请求的显式验证
- 采用“假设已发生违规”的心态,以实现持续验证和安全状况监控
原则概览
在 零信任模型中,安全重心从基于边界的安全措施转移到不认为任何用户或设备是默认可信的方法。相反,无论访问请求的来源如何,都必须对其进行验证。这种方法涉及对每个用户和设备进行身份验证和授权,验证其上下文(位置和设备状况),并仅向必要的资源授予最小权限访问权限。
实施零信任模型有助于您的组织通过最大限度地减少潜在违规的影响并保护敏感数据和应用免遭未经授权的访问,来提升安全状况。零信任模型可帮助您确保云中数据和资源的机密性、完整性和可用性。
建议
如需为云工作负载实施零信任模型,请考虑以下部分中的建议:
保护您的网络
此建议与以下 重点领域相关: 基础架构安全。
从传统的基于边界的安全措施过渡到零信任模型需要多个步骤。您的组织可能已将某些零信任控制措施集成到其安全状况中。不过,零信任模型并非单一产品或解决方案, 而是多个安全层和最佳实践的整体集成。本部分介绍了为网络安全实施零信任的建议和技术。
- 访问权限控制:使用 Chrome 企业进阶版 和 Identity-Aware Proxy (IAP) 等解决方案,根据用户身份和上下文强制执行访问权限控制。这样,您就可以将安全重心从网络边界转移到各个用户和设备。这种方法可以实现精细的访问权限控制,并减少攻击面。
- 网络安全:保护本地、和多云环境之间的网络连接。 Google Cloud
- 使用 Cloud Interconnect 和 IPsec VPN的专用连接方法。
- 如需帮助保护对 Google Cloud 服务和 API 的访问权限,请使用 Private Service Connect。
- 如需帮助保护从 Google Kubernetes Engine (GKE) 上部署的工作负载和相关产品的出站访问权限, 请使用 Cloud Service Mesh 出站网关。
- 网络设计:通过删除现有项目中的默认
网络并禁止在新项目中创建默认
网络,来防范潜在的安全风险。
- 为避免冲突,请仔细规划网络和 IP 地址分配。
- 如需强制执行有效的访问权限控制,请限制每个项目的 Virtual Private Cloud (VPC) 网络数量。
- 分段:隔离工作负载,但保持集中式网络
管理。
- 如需对网络进行分段,请使用 共享 VPC。
- 在组织、文件夹和 VPC 网络级层定义防火墙政策和规则。
- 如需防止 数据渗漏, 请使用 VPC Service Controls在敏感数据和服务周围建立安全边界。
- 边界安全:防范 DDoS 攻击和 Web 应用
威胁。
- 如需防范威胁,请使用 Google Cloud Armor。
- 配置安全政策以允许、拒绝或重定向边缘的 Google Cloud 流量。
- 自动化:通过采用基础架构即代码 (IaC) 原则并使用 Terraform、Jenkins 和 Cloud Build 等工具,实现基础架构预配自动化。IaC 有助于确保安全配置的一致性、简化部署,并在出现问题时快速回滚。
- 安全基础:使用 企业基础蓝图建立安全的应用环境。 此蓝图提供了规范性指南和自动化脚本,可帮助您实施安全最佳实践并安全地配置Google Cloud 资源。
明确验证每次访问尝试
此建议与以下 重点领域相关:
- 身份和访问权限管理
- 安全运维(简称 SecOps)
- 日志记录、审核和监控
为尝试访问云资源的任何用户、设备或服务实施强大的身份验证和授权机制。不要依赖位置或网络边界作为安全控制措施。不要自动信任任何用户、设备或服务,即使它们已位于网络内部也是如此。 相反,每次尝试访问资源都必须经过严格的身份验证和授权。您必须实施强大的身份验证措施,例如多重身份验证 (MFA)。您还必须确保访问权限决策基于精细的政策,这些政策会考虑各种上下文因素,例如用户角色、设备状况和位置。
如需实施此建议,请使用以下方法、工具和技术:
- 统一身份管理:使用单一身份提供方 (IdP) 确保组织内身份管理的一致性。
- Google Cloud 支持与大多数 IdP(包括 本地 Active Directory)进行联合。通过联合,您可以将现有的身份管理基础架构扩展到 Google Cloud ,并为用户启用单点登录 (SSO)。
- 如果您没有现有的 IdP,请考虑使用 Cloud Identity 专业版 或 Google Workspace。
- 有限的服务账号权限:谨慎使用
服务账号
,并遵循最小权限原则。
- 仅授予每个服务帐号执行指定任务所需的必要权限。
- 针对在 Google Kubernetes Engine (GKE) 上运行或在外部运行的应用,使用 工作负载身份联合 安全地访问资源。Google Cloud
- 稳健的流程:更新身份流程,使其与云
安全最佳实践保持一致。
- 如需帮助确保符合法规要求,请实施身份治理来跟踪访问权限、风险和违反政策的行为。
- 查看并更新用于授予和审核访问权限控制角色和权限的现有流程。
- 强大的身份验证:为用户身份验证实施 SSO,并
为特权账号实施 MFA。
- Google Cloud 支持各种 MFA 方法,包括 Titan 安全密钥, 以增强安全性。
- 对于工作负载身份验证,请使用 OAuth 2.0 或签名的 JSON Web 令牌 (JWT)。
- 最小权限:通过强制执行最小权限和职责分离原则,最大限度地降低未经授权的访问和数据
泄露的风险。
- 避免过度预配用户访问权限。
- 考虑为敏感操作实施即时特权访问权限。
- 日志记录:为管理员和数据访问权限活动启用审核日志记录。
- 如需进行分析和威胁检测,请使用 Security Command Center 企业方案 或 Google Security Operations扫描日志。
- 配置适当的日志保留政策,以在安全需求和存储费用之间取得平衡。
监控和维护您的网络
此建议与以下 重点领域相关:
- 日志记录、审核和监控
- 应用安全
- 安全运维(简称 SecOps)
- 基础架构安全
在规划和实施安全措施时,请假设攻击者已位于您的环境内部。这种主动方法涉及使用以下多种工具和技术来提供对网络的可见性:
集中式日志记录和监控:通过集中式 日志记录和监控,收集和 分析来自所有云资源的安全日志。
- 建立正常网络行为的基准,检测异常情况,并识别潜在威胁。
- 持续分析网络流量,以识别可疑模式和潜在攻击。
网络性能和安全分析洞见:使用网络分析器等工具。监控流量中是否存在异常协议、意外连接或数据传输突然激增的情况,这些情况可能表明存在恶意活动。
漏洞扫描和修复:定期扫描网络和应用是否存在漏洞。
- 使用 Web Security Scanner, 它可以自动识别 Compute Engine 实例、容器和 GKE 集群中的漏洞。
- 根据漏洞的严重性及其对系统的潜在影响,确定修复的优先级。
入侵检测:监控网络流量中是否存在恶意活动,并使用 Cloud IDS 和 Cloud NGFW 入侵防御服务自动屏蔽可疑事件或获取相关提醒。
安全分析:考虑实施 Google SecOps 以关联来自各种来源的安全性事件,提供 安全提醒的实时分析,并促进突发事件响应。
一致的配置:使用配置管理工具确保网络中安全 配置的一致性。