הטמעה של מודל אבטחה של אפס אמון

העיקרון הזה, שנכלל בעמודת האבטחה של Google Cloud Well-Architected Framework, עוזר לכם להבטיח אבטחה מקיפה בעומסי העבודה בענן. העיקרון של מודל אבטחה של אפס אמון מדגיש את דרכי הפעולה הבאות:

• ביטול הרשאות שיתוף משתמעות
• החלת העיקרון של הרשאות מינימליות על בקרת גישה
• אכיפה של אימות מפורש של כל בקשות הגישה
• אימוץ גישה של הנחה של פריצה כדי לאפשר אימות רציף ומעקב אחרי מצב האבטחה

סקירה כללית של העקרונות

במודל אפס אמון, המיקוד באבטחה עובר מאבטחה היקפית לגישה שבה אף משתמש או מכשיר לא נחשבים מהימנים באופן מובנה. במקום זאת, כל בקשת גישה צריכה לעבור אימות, ללא קשר למקור שלה. הגישה הזו כוללת אימות והרשאה של כל משתמש ומכשיר, אימות ההקשר שלהם (מיקום ומצב המכשיר) והענקת הרשאות מינימליות לגישה רק למשאבים הדרושים.

הטמעה של מודל אפס אמון עוזרת לארגון לשפר את מצב האבטחה שלו על ידי צמצום ההשפעה של פרצות פוטנציאליות והגנה על מידע אישי רגיש ועל אפליקציות מפני גישה לא מורשית. מודל אפס-אמון עוזר להבטיח את הסודיות, השלמות והזמינות של נתונים ומשאבים בענן.

המלצות

כדי ליישם את מודל אפס-האמון בעומסי העבודה בענן, כדאי לעיין בהמלצות שבקטעים הבאים:

• אבטחת הרשת
• אימות מפורש של כל ניסיון גישה
• מעקב אחרי הרשת ותחזוקה שלה

אבטחת הרשת

ההמלצה הזו רלוונטית לתחום ההתמקדות הבא: אבטחת תשתית.

כדי לעבור מאבטחה היקפית מסורתית למודל של אפס אמון, צריך לבצע כמה שלבים. יכול להיות שהארגון שלכם כבר שילב אמצעי בקרה מסוימים של גישת אפס-אמון במצב האבטחה שלו. עם זאת, מודל של אפס אמון הוא לא מוצר או פתרון יחיד. במקום זאת, מדובר בשילוב הוליסטי של כמה שכבות אבטחה ושיטות מומלצות. בקטע הזה מתוארות המלצות ושיטות להטמעה של מודל אבטחה של אפס אמון באבטחת רשת.

• בקרת גישה: אפשר לאכוף בקרות גישה על סמך זהות המשתמש וההקשר שלו באמצעות פתרונות כמו Chrome Enterprise Premium ושרת proxy לאימות זהויות (IAP). כך מעבירים את האבטחה מהרשת ההיקפית למשתמשים ולמכשירים בודדים. הגישה הזו מאפשרת בקרת גישה פרטנית ומצמצמת את שטח הפנים של האפליקציה.
• אבטחת רשתות: חיבורי רשת מאובטחים בין סביבות מקומיות, Google Cloudוסביבות מרובות עננים.
  • להשתמש בשיטות הקישוריות הפרטית מ-Cloud Interconnect ומ-IPsec VPN.
  • כדי לאבטח את הגישה לשירותים ולממשקי API של Google Cloud , אפשר להשתמש ב-Private Service Connect.
  • כדי לאבטח את הגישה היוצאת מעומסי עבודה שנפרסו ב-Google Kubernetes Engine‏ (GKE) ובמוצרים קשורים, אפשר להשתמש בשערי יציאה של Cloud Service Mesh.
• תכנון הרשת: כדי למנוע סיכוני אבטחה פוטנציאליים, מומלץ למחוק רשתות שמוגדרות כברירת מחדל בפרויקטים קיימים ולהשבית את האפשרות ליצור רשתות שמוגדרות כברירת מחדל בפרויקטים חדשים.
  • כדי להימנע מהתנגשויות, חשוב לתכנן בקפידה את הרשת ואת הקצאת כתובות ה-IP.
  • כדי לאכוף בקרת גישה יעילה, כדאי להגביל את מספר הרשתות של הענן הווירטואלי הפרטי (VPC) בכל פרויקט.
• סגמנטציה: בידוד עומסי העבודה תוך שמירה על ניהול רשת מרכזי.
  • כדי לפלח את הרשת, משתמשים ב-VPC משותף.
  • הגדרת מדיניות וכללים של חומת אש ברמת הארגון, התיקייה ורשת ה-VPC.
  • כדי למנוע זליגת נתונים, מומלץ להגדיר מתחמים היקפיים מאובטחים סביב מידע אישי רגיש ושירותים באמצעות VPC Service Controls.
• אבטחת היקף: הגנה מפני התקפות DDoS ואיומים על אפליקציות אינטרנט.
  • כדי להגן מפני איומים, אפשר להשתמש ב-Google Cloud Armor.
  • הגדרת מדיניות אבטחה שמאפשרת, דוחה או מפנה תנועה ב-Google Cloud edge.
• אוטומציה: כדי להקצות תשתית באופן אוטומטי, צריך להשתמש בעקרונות של תשתית כקוד (IaC) ובכלים כמו Terraform, ‏ Jenkins ו-Cloud Build. ‫IaC עוזרת להבטיח הגדרות אבטחה עקביות, פריסות פשוטות וחזרה מהירה לגרסה קודמת במקרה של בעיות.
• תשתית מאובטחת: כדי ליצור סביבת אפליקציות מאובטחת, אפשר להשתמש בתוכנית הבסיס של Enterprise. בתוכנית הזו מפורטות הנחיות וסקריפטים לאוטומציה שיעזרו לכם להטמיע שיטות מומלצות לאבטחה ולהגדיר אתGoogle Cloud המשאבים בצורה מאובטחת.

אימות מפורש של כל ניסיון גישה

ההמלצה הזו רלוונטית לתחומי ההתמקדות הבאים:

• ניהול זהויות והרשאות גישה
• תפעול אבטחה (SecOps)
• רישום ביומן, ביקורת ומעקב

הטמעת מנגנוני אימות והרשאה חזקים לכל משתמש, מכשיר או שירות שמנסים לגשת למשאבי הענן שלכם. אל תסתמכו על מיקום או על היקף הרשת כאמצעי בקרה לאבטחה. לא נותנים אמון אוטומטי באף משתמש, מכשיר או שירות, גם אם הם כבר נמצאים בתוך הרשת. במקום זאת, כל ניסיון לגשת למשאבים חייב לעבור אימות קפדני ולקבל אישור. עליכם להטמיע אמצעים חזקים לאימות זהות, כמו אימות רב-שלבי (MFA). בנוסף, עליכם לוודא שההחלטות לגבי מתן הרשאת גישה מבוססות על מדיניות מפורטת שמתחשבת במגוון גורמים הקשריים, כמו תפקיד המשתמש, מצב האבטחה של המכשיר והמיקום.

כדי ליישם את ההמלצה הזו, אפשר להשתמש בשיטות, בכלים ובטכנולוגיות הבאים:

• ניהול זהויות מאוחד: שימוש בספק זהויות (IdP) יחיד מבטיח ניהול זהויות עקבי בכל הארגון.
  • Google Cloud תומך באיחוד עם רוב ספקי הזהויות, כולל Active Directory מקומי. איחוד מאפשר לכם להרחיב את התשתית הקיימת של ניהול הזהויות ל- Google Cloud ולהפעיל כניסה יחידה (SSO) למשתמשים.
  • אם אין לכם IdP קיים, כדאי לשקול להשתמש ב-Cloud Identity Premium או ב-Google Workspace.
• הרשאות מוגבלות לחשבון שירות: צריך להשתמש בחשבונות שירות בזהירות, ולפעול לפי העיקרון של הרשאות מינימליות.
  • צריך להעניק לכל חשבון שירות רק את ההרשאות הנדרשות לביצוע המשימות שהוגדרו לו.
  • משתמשים באיחוד שירותי אימות הזהות של עומסי עבודה בשביל אפליקציות שפועלות ב-Google Kubernetes Engine‏ (GKE) או מחוץ ל-Google Cloud כדי לגשת למשאבים בצורה מאובטחת.
• תהליכים חזקים: כדאי לעדכן את תהליכי ניהול הזהויות כך שיתאימו לשיטות המומלצות לאבטחת ענן.
  • כדי לעמוד בדרישות החוק, כדאי להטמיע ניהול זהויות כדי לעקוב אחרי גישה, סיכונים והפרות מדיניות.
  • בודקים ומעדכנים את התהליכים הקיימים למתן הרשאות ולביקורת של תפקידים והרשאות לבקרת גישה.
• אימות חזק: הטמעת SSO לאימות משתמשים והטמעת MFA לחשבונות עם הרשאות מיוחדות.
  • ‫Google Cloud תומך בשיטות שונות של MFA, כולל מפתחות אבטחה Titan, כדי לשפר את האבטחה.
  • לאימות עומסי עבודה, משתמשים ב-OAuth 2.0 או באסימוני JWT (‏JSON Web Tokens) חתומים.
• הרשאות מינימליות: כדי לצמצם את הסיכון לגישה לא מורשית ולפרצות אבטחה בנתונים, חשוב לאכוף את העקרונות של הרשאות מינימליות והפרדה בין תפקידים.
  • חשוב להימנע מהקצאת הרשאות גישה למשתמשים שלא צריכים אותן.
  • כדאי להטמיע גישת הרשאה בדיוק בזמן לפעולות רגישות.
• רישום ביומן: הפעלת רישום ביומן ביקורת של פעילויות של אדמינים וגישה לנתונים.
  • כדי לנתח את היומנים ולזהות איומים, אפשר לסרוק אותם באמצעות Security Command Center Enterprise או Google Security Operations.
  • הגדרת מדיניות מתאימה לשמירת יומנים כדי לאזן בין צורכי האבטחה לבין עלויות האחסון.

מעקב אחרי הרשת ותחזוקה שלה

ההמלצה הזו רלוונטית לתחומי ההתמקדות הבאים:

• רישום ביומן, ביקורת ומעקב
• אבטחת אפליקציות
• תפעול אבטחה (SecOps)
• אבטחת התשתית

כשמתכננים ומיישמים אמצעי אבטחה, צריך להניח שתוקף כבר נמצא בתוך הסביבה שלכם. הגישה הפרואקטיבית הזו כוללת שימוש בכמה כלים וטכניקות כדי לספק תובנות לגבי הרשת שלכם:

• רישום ביומן ומעקב באופן מרוכז: איסוף וניתוח של יומני אבטחה מכל משאבי הענן באמצעות רישום ביומן ומעקב באופן מרוכז.

  • להגדיר ערכי בסיס להתנהגות רגילה ברשת, לזהות אנומליות ולזהות איומים פוטנציאליים.
  • ניתוח רציף של זרימות תעבורת הרשת כדי לזהות דפוסים חשודים והתקפות פוטנציאליות.

• תובנות לגבי ביצועי הרשת והאבטחה: אפשר להשתמש בכלים כמו Network Analyzer. עוקבים אחרי התנועה כדי לזהות פרוטוקולים חריגים, חיבורים לא צפויים או עליות פתאומיות בהעברת נתונים, שיכולים להעיד על פעילות זדונית.

• בדיקת נקודות חולשה ותיקון שלהן: סורקים את הרשת והאפליקציות באופן קבוע כדי לאתר נקודות חולשה.

  • אפשר להשתמש ב-Web Security Scanner, שמזהה באופן אוטומטי נקודות חולשה במופעי Compute Engine, במאגרי מידע ובאשכולות GKE.
  • כדאי לתת עדיפות לתיקון בהתאם לחומרת פרצות האבטחה ולהשפעה הפוטנציאלית שלהן על המערכות.

• גילוי חדירות: מעקב אחרי תעבורת נתונים ברשת כדי לזהות פעילות זדונית וחסימה אוטומטית של אירועים חשודים, או קבלת התראות על אירועים כאלה באמצעות Cloud IDS ושירות מניעת החדירות Cloud NGFW.

• ניתוח אבטחה: מומלץ להטמיע את Google SecOps כדי ליצור קורלציה בין אירועי אבטחה ממקורות שונים, לספק ניתוח בזמן אמת של התראות אבטחה ולסייע בתגובה לאירועים.

• תצורות עקביות: כדי לוודא שיש לכם תצורות אבטחה עקביות ברשת, כדאי להשתמש בכלי ניהול תצורה.