Lineamientos de infraestructura

Desactiva el acceso al puerto en serie configurando la restricción de la política de la organización compute.disableSerialPortAccess. Inhabilita el acceso al puerto en serie en tus VMs de Compute Engine para ayudar a eliminar un canal de acceso que omite tus reglas de firewall y otros controles de seguridad de red. La consola en serie interactiva está diseñada principalmente para la solución de problemas de emergencia, pero, si la dejas habilitada, puedes crear una puerta trasera persistente a la que los atacantes pueden apuntar.

Inhabilitar el acceso puerto en serie ayuda a aplicar una estrategia de seguridad en profundidad, ya que obliga a todo el acceso administrativo a través de rutas auditadas estándar, como SSH, que puedes proteger habilitando Identity and Access Management (IAM) y Identity-Aware Proxy (IAP).

Inhabilita la creación de subredes externas IPv6, a menos que sea específicamente necesario. Para reducir la superficie de ataque, considera inhabilitar IPv6 en los sistemas y las redes en los que no se administra o requiere de forma activa. Muchas organizaciones tienen controles de seguridad y supervisión avanzados para IPv4, pero es posible que sus herramientas y políticas no se extiendan por completo a IPv6, lo que puede crear un punto ciego importante para las amenazas. Ejecutar una red de pila doble también introduce complejidad operativa, ya que requiere configuraciones y conocimientos específicos para administrar y solucionar problemas de manera eficaz. Por lo tanto, si no tienes un factor comercial claro para IPv6, inhabilitarlo puede simplificar tu entorno y garantizar que todo el tráfico se filtre de manera coherente a través de tu postura de seguridad IPv4 establecida.

Activa los atributos de supervisión de integridad y del módulo de plataforma segura virtual (vTPM) de la VM protegida para tus instancias. Los atributos de supervisión de integridad y del vTPM forman parte del proceso predeterminado de creación de instancias de VM. Usa los atributos de supervisión de integridad y vTPM de la VM protegida para garantizar que tus VMs solo se inicien con código de confianza sin modificar.

El vTPM proporciona un criptoprocesador virtual seguro que genera y almacena mediciones criptográficas de toda la secuencia de inicio, desde el firmware UEFI hasta los controladores del kernel. Luego, la supervisión de integridad compara continuamente estas mediciones del tiempo de ejecución con un modelo de referencia adecuado conocido que se estableció cuando se creó la VM por primera vez.

Estas funciones proporcionan una cadena de confianza verificable y te alertan automáticamente o toman medidas si detectan modificaciones maliciosas, como las de un bootkit o rootkit. Las funciones de VM protegida ayudan a mantener la integridad de tu carga de trabajo desde el momento en que se enciende la instancia.

Usa clústeres de Autopilot de Google Kubernetes Engine (GKE). Los clústeres de Autopilot ofrecen medidas de seguridad sólidas, con muchas prácticas recomendadas de seguridad para contenedores o GKE habilitadas de forma predeterminada.

Usa cuentas de servicio de Identity and Access Management (IAM) con privilegios mínimos para los clústeres y nodos de Google Kubernetes Engine (GKE). El acceso al plano de control de GKE está restringido a un solo extremo basado en DNS. La implementación del principio de privilegio mínimo reduce significativamente la superficie de ataque sin necesidad de reglas de firewall adicionales ni hosts bastión.

Restringe el acceso de red al plano de control con un extremo basado en DNS. El plano de control es el centro de administración de un clúster de Kubernetes, y exponerlo a Internet lo convierte en un objetivo principal para los atacantes. Este parámetro de configuración hace que el plan de control sea privado y lo quita de Internet.

Restringir el acceso al plano de control ayuda a garantizar que solo los dispositivos de confianza dentro de la red privada de tu organización puedan administrar el clúster, lo que reduce drásticamente el riesgo de un ataque externo.

Usa Container-Optimized OS para implementar un SO de contenedor endurecido y administrado. Los sistemas operativos de uso general incluyen muchos programas adicionales que no son necesarios para ejecutar contenedores y, por lo tanto, crean un objetivo más grande e innecesario para los atacantes. Container-Optimized OS es un sistema operativo minimalista y bloqueado que reduce significativamente esta superficie de ataque, ya que solo incluye lo necesario. Como SO administrado, Container-Optimized OS también tiene parches de seguridad que Google aplica automáticamente, lo que ayuda a garantizar que se corrijan las vulnerabilidades críticas y reduce tu carga de trabajo operativa.

Si permites que los desarrolladores accedan a los recursos de Compute Engine a través de SSH, configura el Acceso al SO con la verificación en 2 pasos. Usa Acceso al SO para administrar las llaves SSH con políticas de Identity and Access Management (IAM) configurando la restricción de la política de la organización compute.requireOsLogin. El Acceso al SO centraliza el acceso a las VM, ya que vincula los permisos de SSH a la identidad de Google y los roles de IAM de un usuario, lo que elimina la necesidad de administrar claves SSH individuales en cada máquina.

Vincular los permisos de SSH a la identidad de un usuario es fundamental para la seguridad, ya que quitar el rol de IAM de un usuario revoca instantáneamente su acceso en todas las instancias, lo que protege contra la entrada no autorizada de cuentas inactivas. El sistema simplifica la administración de claves para ayudar a evitar la proliferación de claves y proporciona un registro de auditoría claro y centralizado para todos los eventos de acceso en los registros de auditoría de Cloud. El Acceso al SO también te permite aplicar la autenticación de dos factores, lo que agrega una capa de protección fundamental contra el robo de llaves SSH y credenciales. Un atacante con tokens de OAuth vulnerados, pero sin una contraseña ni una llave de seguridad está bloqueado por esta función.

A menos que sea necesario, impide la creación de instancias de Compute Engine con direcciones IP públicas. La restricción de lista compute.vmExternalIpAccess define el conjunto de instancias de VM de Compute Engine que pueden tener direcciones IP externas.

Evita que las instancias de Compute Engine tengan direcciones IP externas para reducir drásticamente su exposición a Internet. Cualquier instancia con una dirección IP externa se puede descubrir de inmediato y se convierte en un objetivo directo para los análisis automatizados, los ataques de fuerza bruta y los intentos de aprovechar vulnerabilidades. En cambio, exige que las instancias usen direcciones IP privadas y administra el acceso a través de rutas controladas, autenticadas y registradas, como el túnel de Identity-Aware Proxy (IAP) o un host de bastión.

Adoptar esta postura de denegación predeterminada es una práctica recomendada de seguridad fundamental que ayuda a minimizar la superficie de ataque y aplica un enfoque de confianza cero a tu red. Esta restricción no es retroactiva.

Usa Workload Identity Federation for GKE para autenticarte en las APIs de las cargas de trabajo de Google Kubernetes Engine (GKE). Google Cloud La federación de identidades para cargas de trabajo para GKE proporciona una forma más simple y segura de obtener identidades para llamar a las APIs de Google Cloud que las claves de cuentas de servicio.

Crea nodos privados para reducir la exposición a Internet. Los nodos privados de Google Kubernetes Engine (GKE) ayudan a reducir la exposición a Internet, ya que garantizan que los nodos de GKE no tengan una dirección IP pública.

Usa Grupos de Google para el control de acceso basado en roles (RBAC), que también te permite integrarte en las prácticas de administración de cuentas de usuario existentes, como revocar el acceso cuando alguien abandona la organización. Los Grupos de Google para RBAC ayudan a proporcionar una administración eficiente del acceso al clúster con Identity and Access Management (IAM) y Grupos de Google, lo que es adecuado para la mayoría de las organizaciones que usan Grupos de Google.

Usa GKE Sandbox para proporcionar una capa adicional de seguridad que ayude a evitar que el código no confiable afecte el kernel del host en los nodos de clústeres de Google Kubernetes Engine (GKE). GKE Sandbox mejora el aislamiento de las cargas de trabajo no confiables o sensibles, y proporciona una capa adicional de protección contra ataques de escape de contenedores.

Usa la Autorización binaria para asegurarte de que las imágenes confiables se implementen en Google Kubernetes Engine (GKE). La Autorización Binaria ayuda a garantizar que solo se puedan implementar imágenes de contenedores verificadas y confiables en tus clústeres, lo que fortalece la seguridad de la cadena de suministro de software.

Usa Confidential GKE Nodes para aplicar la encriptación de los datos en uso en tus nodos y cargas de trabajo. Los Confidential GKE Nodes ayudan a proteger las cargas de trabajo altamente sensibles encriptando los datos en uso a través de Confidential Computing.

Ejecuta tus propias autoridades certificadoras para administrar claves dentro de Google Kubernetes Engine (GKE). Usar tus propias autoridades certificadoras te permite tener un mayor control sobre las operaciones criptográficas. Para solicitar acceso a esta función, comunícate con tu Google Cloud equipo de cuentas.

Encripta los Secrets de Kubernetes en reposo con claves administradas por Cloud Key Management Service (Cloud KMS). Cloud KMS proporciona una capa adicional de seguridad para los datos de etcd, ya que te permite encriptar secretos de Kubernetes con una clave que posees y administras.

Usa claves de encriptación administradas por el cliente (CMEK) para encriptar el disco de arranque del nodo. CMEK te permite encriptar el disco de arranque de un nodo de Kubernetes con una clave que te pertenece y que administras.