Richtlinien für die Infrastruktur

Deaktivieren Sie den Zugriff auf die serielle Schnittstelle, indem Sie die Einschränkung der Organisationsrichtlinie compute.disableSerialPortAccess festlegen. Deaktivieren Sie den Zugriff auf den seriellen Port auf Ihren Compute Engine-VMs, um einen Zugriffskanal zu eliminieren, der Ihre Firewallregeln und andere Netzwerksicherheitskontrollen umgeht. Die interaktive serielle Konsole ist in erster Linie für die Notfall-Fehlerbehebung vorgesehen. Wenn Sie sie jedoch aktiviert lassen, können Sie eine dauerhafte Hintertür schaffen, die von Angreifern genutzt werden kann.

Durch das Deaktivieren des seriellen Portzugriffs wird eine umfassende Sicherheitsstrategie erzwungen, da der gesamte administrative Zugriff über standardmäßige, geprüfte Pfade wie SSH erfolgt. Diese können Sie schützen, indem Sie Identity and Access Management (IAM) und Identity-Aware Proxy (IAP) aktivieren.

Deaktivieren Sie die Erstellung externer IPv6-Subnetze, sofern sie nicht ausdrücklich erforderlich ist. Um die Angriffsfläche zu verringern, sollten Sie IPv6 auf Systemen und in Netzwerken deaktivieren, in denen es nicht aktiv verwaltet wird oder nicht erforderlich ist. Viele Organisationen haben ausgereifte Sicherheitskontrollen und Überwachung für IPv4, aber ihre Tools und Richtlinien erstrecken sich möglicherweise nicht vollständig auf IPv6, was zu einem erheblichen blinden Fleck für Bedrohungen führen kann. Der Betrieb eines Dual-Stack-Netzwerks führt auch zu einer erhöhten Komplexität, da für die effektive Verwaltung und Fehlerbehebung spezielle Konfigurationen und Fachkenntnisse erforderlich sind. Wenn Sie also keinen klaren geschäftlichen Grund für IPv6 haben, kann das Deaktivieren die Umgebung vereinfachen und dafür sorgen, dass der gesamte Traffic einheitlich über Ihre etablierte IPv4-Sicherheitskonfiguration gefiltert wird.

Aktivieren Sie die Attribute „Virtual Trusted Platform Module“ (vTPM) und „Integritätsüberwachung“ von Shielded VM für Ihre Instanzen. vTPM- und Integritätsüberwachungsattribute sind Teil des standardmäßigen Prozesses zum Erstellen von VM-Instanzen. Mit den vTPM- und Integritätsüberwachungsattributen von Shielded VM können Sie dafür sorgen, dass Ihre VMs nur mit vertrauenswürdigem, unverändertem Code gebootet werden.

Das vTPM bietet einen sicheren, virtuellen Kryptoprozessor, der kryptografische Messungen der gesamten Bootsequenz generiert und speichert, von der UEFI-Firmware bis zu den Kerneltreibern. Die Integritätsüberwachung vergleicht diese Laufzeitmessungen dann kontinuierlich mit einer bekannten Referenz, die beim ersten Erstellen der VM festgelegt wurde.

Diese Funktionen bieten eine überprüfbare Vertrauenskette und benachrichtigen Sie automatisch oder ergreifen Maßnahmen, wenn sie schädliche Änderungen erkennen, z. B. durch ein Bootkit oder Rootkit. Die Funktionen von Shielded VM tragen dazu bei, die Integrität Ihrer Arbeitslast ab dem Moment des Einschaltens der Instanz aufrechtzuerhalten.

Google Kubernetes Engine (GKE) Autopilot-Cluster verwenden Autopilot-Cluster bieten robuste Sicherheitsmaßnahmen, wobei viele Best Practices für die Sicherheit von Containern oder GKE standardmäßig aktiviert sind.

Verwenden Sie IAM-Dienstkonten (Identity and Access Management) mit minimalen Berechtigungen für Google Kubernetes Engine-Cluster (GKE) und -Knoten. Der Zugriff auf die GKE-Steuerungsebene ist auf einen einzelnen DNS-basierten Endpunkt beschränkt. Durch die Implementierung des Prinzips der geringsten Berechtigung wird die Angriffsfläche erheblich reduziert, ohne dass zusätzliche Firewallregeln oder Bastion-Hosts erforderlich sind.

Beschränken Sie den Netzwerkzugriff auf die Steuerungsebene über einen DNS-basierten Endpunkt. Die Steuerungsebene ist das Verwaltungszentrum für einen Kubernetes-Cluster. Wenn sie dem Internet ausgesetzt ist, ist sie ein ideales Ziel für Angreifer. Mit dieser Einstellung wird die Steuerungsebene privat und aus dem Internet entfernt.

Durch die Einschränkung des Zugriffs auf die Steuerungsebene wird sichergestellt, dass nur vertrauenswürdige Geräte im privaten Netzwerk Ihrer Organisation den Cluster verwalten können. Dadurch wird das Risiko eines externen Angriffs erheblich verringert.

Verwenden Sie Container-Optimized OS, um ein gehärtetes und verwaltetes Container-Betriebssystem zu implementieren. Allgemeine Betriebssysteme enthalten viele zusätzliche Programme, die für die Ausführung von Containern nicht erforderlich sind und daher ein größeres, unnötiges Ziel für Angreifer darstellen. Container-Optimized OS ist ein minimales, gesperrtes Betriebssystem, das diese Angriffsfläche erheblich reduziert, da es nur die erforderlichen Komponenten enthält. Als verwaltetes Betriebssystem verfügt Container-Optimized OS auch über Sicherheitspatches, die automatisch von Google angewendet werden. So werden kritische Sicherheitslücken behoben und Ihr Betriebsaufwand wird reduziert.

Wenn Sie Entwicklern den Zugriff auf Compute Engine-Ressourcen über SSH gewähren, konfigurieren Sie OS Login mit Bestätigung in zwei Schritten. Mit OS Login können Sie SSH-Schlüssel mit IAM-Richtlinien (Identity and Access Management) verwalten, indem Sie die Organisationsrichtlinieneinschränkung compute.requireOsLogin festlegen. OS Login zentralisiert den VM-Zugriff, indem SSH-Berechtigungen an die Google-Identität und IAM-Rollen eines Nutzers gebunden werden. So müssen nicht auf jeder Maschine einzelne SSH-Schlüssel verwaltet werden.

Die Verknüpfung von SSH-Berechtigungen mit der Identität eines Nutzers ist aus Sicherheitsgründen von entscheidender Bedeutung, da durch das Entfernen der IAM-Rolle eines Nutzers der Zugriff auf alle Instanzen sofort widerrufen wird. So wird unbefugter Zugriff über inaktive Konten verhindert. Das System vereinfacht die Schlüsselverwaltung, um die Schlüsselvermehrung zu verhindern, und bietet einen klaren, zentralen Audit-Trail für alle Anmeldeereignisse in Cloud-Audit-Logs. Mit OS Login können Sie auch die 2‑Faktor-Authentifizierung erzwingen und so eine wichtige Schutzebene gegen gestohlene SSH-Schlüssel und Anmeldedaten hinzufügen. Ein Angreifer, der manipulierte OAuth-Tokens, aber kein Passwort oder Sicherheitsschlüssel verwendet, wird durch diese Funktion blockiert.

Verhindern Sie, sofern nicht erforderlich, die Erstellung von Compute Engine-Instanzen mit öffentlichen IP-Adressen. Die Listeneinschränkung compute.vmExternalIpAccess definiert die Compute Engine-VM-Instanzen, die externe IP-Adressen haben können.

Verhindern Sie, dass Compute Engine-Instanzen externe IP-Adressen haben, um ihre Gefährdung durch das Internet drastisch zu reduzieren. Jede Instanz mit einer externen IP-Adresse ist sofort auffindbar und wird zu einem direkten Ziel für automatisierte Scans, Brute-Force-Angriffe und Versuche, Sicherheitslücken auszunutzen. Stattdessen sollten Sie festlegen, dass Instanzen private IP-Adressen verwenden, und den Zugriff über kontrollierte, authentifizierte und protokollierte Pfade wie den Identity-Aware Proxy (IAP)-Tunnel oder einen Bastion-Host verwalten.

Diese Standardeinstellung ist eine grundlegende Best Practice für die Sicherheit, mit der Sie Ihre Angriffsfläche minimieren und einen Zero-Trust-Ansatz für Ihr Netzwerk erzwingen können. Diese Einschränkung ist nicht rückwirkend.

Mit der Identitätsföderation von Arbeitslasten für GKE können Sie sich bei Google Cloud APIs über Google Kubernetes Engine-Arbeitslasten (GKE) authentifizieren. Die Identitätsföderation von Arbeitslasten für GKE bietet eine einfachere und sicherere Möglichkeit, Identitäten für den Aufruf von Google Cloud APIs als Dienstkontoschlüssel zu erhalten.

Erstellen Sie private Knoten, um die Angriffsfläche im Internet zu verringern. Private Google Kubernetes Engine-Knoten (GKE) tragen dazu bei, die Internetpräsenz zu verringern, da GKE-Knoten keine öffentliche IP-Adresse haben.

Verwenden Sie Google Groups für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC). So können Sie auch Ihre bestehenden Methoden zur Verwaltung von Nutzerkonten einbinden, z. B. zum Sperren des Zugriffs für Personen, die Ihre Organisation verlassen. Google Groups for RBAC bietet eine effiziente Verwaltung des Clusterzugriffs mit Identity and Access Management (IAM) und Google Groups, was für die meisten Organisationen, die Google Groups verwenden, geeignet ist.

Verwenden Sie GKE Sandbox, um eine zusätzliche Sicherheitsebene bereitzustellen, die nicht vertrauenswürdigen Code daran hindert, den Hostkernel auf Ihren Google Kubernetes Engine-Clusterknoten (GKE) zu beeinträchtigen. GKE Sandbox verbessert die Isolierung von Arbeitslasten für nicht vertrauenswürdige oder sensible Arbeitslasten und bietet eine zusätzliche Schutzschicht gegen Container-Escape-Angriffe.

Mit der Binärautorisierung können Sie dafür sorgen, dass vertrauenswürdige Images in Google Kubernetes Engine (GKE) bereitgestellt werden. Die Binärautorisierung trägt dazu bei, dass nur verifizierte und vertrauenswürdige Container-Images in Ihren Clustern bereitgestellt werden können. So wird die Sicherheit der Softwarelieferkette gestärkt.

Mit Confidential GKE Nodes können Sie die Verschlüsselung aktiver Daten in Ihren Knoten und Arbeitslasten erzwingen. Confidential GKE Nodes tragen dazu bei, hochsensible Arbeitslasten zu schützen, indem sie aktive Daten durch Confidential Computing verschlüsseln.

Sie können Ihre eigenen Zertifizierungsstellen verwenden, um Schlüssel in Google Kubernetes Engine (GKE) zu verwalten. Die Verwendung eigener Zertifizierungsstellen bietet mehr Kontrolle über kryptografische Vorgänge. Wenn Sie Zugriff auf diese Funktion anfordern möchten, wenden Sie sich an Ihr Google Cloud Account-Management-Team.

Kubernetes-Secrets im Ruhezustand mit Schlüsseln verschlüsseln, die von Cloud Key Management Service (Cloud KMS) verwaltet werden. Cloud KMS bietet eine zusätzliche Sicherheitsebene für etcd-Daten, da Sie Kubernetes-Secrets mit einem Schlüssel verschlüsseln können, der Ihnen gehört und den Sie verwalten.

Verwenden Sie kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) für die Verschlüsselung von Knoten-Bootlaufwerken. Mit CMEK können Sie das Bootlaufwerk eines Kubernetes-Knotens mit einem Schlüssel verschlüsseln, den Sie besitzen und verwalten.