Consignes relatives à l'infrastructure

Désactivez l'accès au port série en définissant la contrainte de règle d'administration compute.disableSerialPortAccess. Désactivez l'accès au port série sur vos VM Compute Engine pour éliminer un canal d'accès qui contourne vos règles de pare-feu et autres contrôles de sécurité réseau. La console série interactive est principalement destinée au dépannage d'urgence. Toutefois, si vous la laissez activée, vous pouvez créer une porte dérobée persistante qui peut être ciblée par des pirates informatiques.

La désactivation de l'accès au port série permet d'appliquer une stratégie de sécurité en profondeur en forçant tout accès administratif à passer par des chemins d'accès standards et audités tels que SSH, que vous pouvez protéger en activant Identity and Access Management (IAM) et Identity-Aware Proxy (IAP).

Désactivez la création de sous-réseaux IPv6 externes, sauf si cela est spécifiquement requis. Pour réduire votre surface d'attaque, envisagez de désactiver IPv6 sur les systèmes et réseaux où il n'est pas géré activement ni requis. De nombreuses organisations disposent de contrôles et d'une surveillance de sécurité matures pour IPv4, mais leurs outils et règles ne s'étendent peut-être pas entièrement à IPv6, ce qui peut créer un angle mort important pour les menaces. L'exécution d'un réseau à double pile introduit également une complexité opérationnelle, nécessitant des configurations et une expertise spécifiques pour gérer et résoudre efficacement les problèmes. Par conséquent, si vous n'avez pas de raison commerciale claire d'utiliser IPv6, le désactiver peut simplifier votre environnement et garantir que tout le trafic est filtré de manière cohérente par votre stratégie de sécurité IPv4 établie.

Activez les attributs de module de plate-forme virtuelle sécurisée (vTPM) et de surveillance de l'intégrité de la VM protégée pour vos instances. Les attributs vTPM et de surveillance de l'intégrité font partie du processus de création d'instance de VM par défaut. Utilisez les attributs vTPM et de surveillance de l'intégrité des VM protégées pour vous assurer que vos VM ne démarrent qu'avec du code fiable et non modifié.

Le vTPM fournit un cryptoprocesseur virtuel sécurisé qui génère et stocke des mesures cryptographiques de l'ensemble de la séquence de démarrage, du micrologiciel UEFI aux pilotes du noyau. La surveillance de l'intégrité compare ensuite en permanence ces mesures d'exécution à une référence connue établie lors de la création de la VM.

Ces fonctionnalités fournissent une chaîne de confiance vérifiable et vous alertent automatiquement ou prennent des mesures si elles détectent des modifications malveillantes, comme celles d'un bootkit ou d'un rootkit. Les fonctionnalités des VM protégées permettent de préserver l'intégrité de votre charge de travail dès l'allumage de l'instance.

Utilisez des clusters Google Kubernetes Engine (GKE) Autopilot. Les clusters Autopilot offrent des mesures de sécurité robustes, avec de nombreuses bonnes pratiques de sécurité pour les conteneurs ou GKE activées par défaut.

Utilisez des comptes de service IAM (Identity and Access Management) avec des droits minimaux pour les clusters et les nœuds Google Kubernetes Engine (GKE). L'accès au plan de contrôle GKE est limité à un seul point de terminaison basé sur un DNS. L'implémentation du principe du moindre privilège réduit considérablement la surface d'attaque sans nécessiter de règles de pare-feu ni d'hôtes bastion supplémentaires.

Limitez l'accès réseau au plan de contrôle à l'aide d'un point de terminaison basé sur un DNS. Le plan de contrôle est le centre de gestion d'un cluster Kubernetes. L'exposer à Internet en fait une cible privilégiée pour les pirates informatiques. Ce paramètre rend le plan de contrôle privé et le supprime d'Internet.

Limiter l'accès au plan de contrôle permet de s'assurer que seuls les appareils vérifiés du réseau privé de votre organisation peuvent gérer le cluster, ce qui réduit considérablement le risque d'attaque externe.

Utilisez Container-Optimized OS pour implémenter un OS de conteneur renforcé et géré. Les systèmes d'exploitation à usage général incluent de nombreux programmes supplémentaires qui ne sont pas nécessaires à l'exécution des conteneurs et qui créent donc une cible plus grande et inutile pour les pirates informatiques. Container-Optimized OS est un système d'exploitation minimal et verrouillé qui réduit considérablement cette surface d'attaque en n'incluant que ce qui est nécessaire. En tant qu'OS géré, Container-Optimized OS dispose également de correctifs de sécurité appliqués automatiquement par Google. Cela permet de s'assurer que les failles critiques sont corrigées et de réduire votre charge de travail opérationnelle.

Si vous autorisez les développeurs à accéder aux ressources Compute Engine via SSH, configurez OS Login avec la validation en deux étapes. Utilisez OS Login pour gérer les clés SSH avec des stratégies Identity and Access Management (IAM) en définissant la contrainte de règle d'administration compute.requireOsLogin. OS Login centralise l'accès aux VM en associant les autorisations SSH à l'identité Google et aux rôles IAM d'un utilisateur, ce qui élimine la nécessité de gérer des clés SSH individuelles sur chaque machine.

Il est essentiel d'associer les autorisations SSH à l'identité d'un utilisateur pour des raisons de sécurité. En effet, la suppression du rôle IAM d'un utilisateur révoque instantanément son accès à toutes les instances, ce qui protège contre les accès non autorisés à partir de comptes obsolètes. Le système simplifie la gestion des clés pour éviter leur prolifération et fournit un journal d'audit clair et centralisé pour tous les événements de connexion dans Cloud Audit Logs. OS Login vous permet également d'appliquer l'authentification à deux facteurs, ce qui ajoute une couche de protection essentielle contre le vol de clés et d'identifiants SSH. Un pirate informatique disposant de jetons OAuth compromis, mais d'aucun mot de passe ni clé de sécurité, va se retrouver bloqué par cette fonctionnalité.

Sauf si cela est nécessaire, empêchez la création d'instances Compute Engine avec des adresses IP publiques. La contrainte de liste compute.vmExternalIpAccess définit l'ensemble des instances de VM Compute Engine pouvant disposer d'adresses IP externes.

Empêchez les instances Compute Engine d'avoir des adresses IP externes pour réduire considérablement leur exposition à Internet. Toute instance dotée d'une adresse IP externe est immédiatement détectable et devient une cible directe pour les analyses automatisées, les attaques par force brute et les tentatives d'exploitation des failles. À la place, exigez des instances qu'elles utilisent des adresses IP privées et gérez l'accès via des chemins contrôlés, authentifiés et enregistrés, comme le tunnel Identity-Aware Proxy (IAP) ou un hôte bastion.

L'adoption de cette posture de refus par défaut est une bonne pratique de sécurité fondamentale qui permet de réduire votre surface d'attaque et d'appliquer une approche zéro confiance à votre réseau. Cette contrainte n'est pas rétroactive.

Utilisez la fédération d'identité de charge de travail pour GKE afin de vous authentifier auprès des API Google Cloud à partir des charges de travail Google Kubernetes Engine (GKE). Workload Identity Federation for GKE offre un moyen plus simple et plus sûr d'obtenir des identités pour appeler les API Google Cloud que les clés de compte de service.

Créez des nœuds privés pour réduire l'exposition à Internet. Les nœuds Google Kubernetes Engine (GKE) privés permettent de réduire l'exposition à Internet en s'assurant que les nœuds GKE ne disposent pas d'adresse IP publique.

Utilisez Google Groupes pour le contrôle des accès basé sur les rôles (RBAC), qui vous permet également d'intégrer vos pratiques de gestion des comptes utilisateur existantes, telles que la révocation d'accès lorsqu'un utilisateur quitte votre organisation. Google Groupes pour RBAC permet de gérer efficacement l'accès aux clusters à l'aide d'Identity and Access Management (IAM) et de Google Groupes. Cette fonctionnalité convient à la plupart des organisations qui utilisent Google Groupes.

Utilisez GKE Sandbox pour ajouter un niveau de sécurité supplémentaire et empêcher ainsi un code non approuvé d'affecter le noyau hôte sur les nœuds de votre cluster Google Kubernetes Engine (GKE). GKE Sandbox améliore l'isolation des charges de travail non approuvées ou sensibles, en offrant une couche de protection supplémentaire contre les attaques par évasion de conteneur.

Utilisez l'autorisation binaire pour vous assurer que des images fiables sont déployées sur Google Kubernetes Engine (GKE). L'autorisation binaire permet de s'assurer que seules des images de conteneurs vérifiées et fiables peuvent être déployées dans vos clusters, ce qui renforce la sécurité de la chaîne d'approvisionnement logicielle.

Utilisez des nœuds Confidential GKE Node pour appliquer le chiffrement des données utilisées dans vos nœuds et charges de travail. Les nœuds Confidential GKE Node contribuent à sécuriser les charges de travail très sensibles en chiffrant les données en cours d'utilisation grâce à l'informatique confidentielle.

Exécutez vos propres autorités de certification pour gérer les clés dans Google Kubernetes Engine (GKE). L'utilisation de vos propres autorités de certification vous permet de mieux contrôler les opérations de chiffrement. Pour demander l'accès à cette fonctionnalité, contactez l'équipe chargée de votre compte Google Cloud .

Chiffrez les secrets Kubernetes au repos à l'aide de clés gérées par Cloud Key Management Service (Cloud KMS). Cloud KMS fournit une couche de sécurité supplémentaire pour les données etcd en vous permettant de chiffrer les secrets Kubernetes à l'aide d'une clé dont vous êtes propriétaire et que vous gérez.

Utilisez des clés de chiffrement gérées par le client (CMEK) pour chiffrer les disque de démarrage des nœuds. Les CMEK vous permettent de chiffrer le disque de démarrage d'un nœud Kubernetes avec une clé dont vous êtes propriétaire et que vous gérez.