הנחיות בנושא תשתית

כדי להשבית את הגישה ליציאות טוריות, מגדירים את האילוץ compute.disableSerialPortAccess במדיניות הארגון. כדי למנוע ערוץ גישה שעוקף את כללי חומת האש ואמצעי בקרת אבטחה אחרים ברשת, כדאי להשבית את הגישה ליציאה טורית במכונות וירטואליות ב-Compute Engine. המסוף הטורי האינטראקטיבי מיועד בעיקר לפתרון בעיות במקרה חירום, אבל אם משאירים אותו מופעל, אפשר ליצור דלת אחורית קבועה שיכולה להפוך ליעד לתוקפים.

השבתת הגישה ליציאה טורית עוזרת לאכוף עמדת אבטחה מקיפה, כי היא מחייבת שכל הגישה האדמיניסטרטיבית תתבצע דרך נתיבים סטנדרטיים שנבדקים, כמו SSH. כדי להגן על הנתיבים האלה, אפשר להפעיל את ניהול הזהויות והרשאות הגישה (IAM) ואת Identity-Aware Proxy (IAP).

משביתים את היצירה של תת-רשת חיצונית של IPv6, אלא אם נדרש אחרת. כדי לצמצם את שטח הפנים של המתקפה, כדאי להשבית את IPv6 במערכות וברשתות שבהן הוא לא מנוהל באופן פעיל או לא נדרש. בארגונים רבים יש אמצעי בקרה וניטור אבטחה מפותחים ל-IPv4, אבל יכול להיות שהכלים וכללי המדיניות שלהם לא מתאימים באופן מלא ל-IPv6, ולכן עלול להיווצר אזור מת של איומים. הפעלת רשת עם פרוטוקול כפול גם מוסיפה מורכבות תפעולית, ודורשת הגדרות ספציפיות ומומחיות כדי לנהל ולפתור בעיות בצורה יעילה. לכן, אם אין לכם סיבה עסקית ברורה להשתמש ב-IPv6, השבתה שלו יכולה לפשט את הסביבה שלכם ולהבטיח שכל התנועה תסונן באופן עקבי באמצעות אמצעי האבטחה הקיימים של IPv4.

מפעילים את המאפיינים של מודול פלטפורמה וירטואלי מהימן (vTPM) וניטור התקינות של מכונות וירטואליות מוגנות עבור המכונות שלכם. מאפייני ה-vTPM וניטור התקינות הם חלק מתהליך ברירת המחדל של יצירת מכונות וירטואליות. כדי לוודא שהמכונות הווירטואליות שלכם יופעלו רק עם קוד מהימן שלא שונה, אתם יכולים להשתמש במאפיינים vTPM וניטור התקינות של מכונות וירטואליות מוגנות.

ה-vTPM מספק מעבד קריפטוגרפי וירטואלי ומאובטח שיוצר ומאחסן מדידות קריפטוגרפיות של כל רצף האתחול, מקושחת ה-UEFI ועד לדרייברים של ליבת המערכת. לאחר מכן, המערכת משווה באופן רציף את המדידות האלה של זמן הריצה לנתוני בסיס תקינים שנקבעו כשנוצרה מכונת ה-VM.

התכונות האלה מספקות שרשרת אמון שניתנת לאימות, ומציגות לכם התראות באופן אוטומטי או מבצעות פעולות אם הן מזהות שינויים זדוניים, כמו שינויים שנובעים מ-bootkit או מ-rootkit. התכונות של מכונות וירטואליות מוגנות עוזרות לשמור על השלמות של עומס העבודה מהרגע שהמופע מופעל.

שימוש באשכולות Google Kubernetes Engine‏ (GKE) במצב Autopilot. אשכולות Autopilot מציעים אמצעי אבטחה חזקים, עם הרבה שיטות מומלצות לאבטחת קונטיינרים או GKE שמופעלות כברירת מחדל.

מומלץ להשתמש בחשבונות שירות של ניהול זהויות והרשאות גישה (IAM) עם הרשאות מינימליות לאשכולות ולצמתים של Google Kubernetes Engine‏ (GKE). הגישה למישור הבקרה של GKE מוגבלת לנקודת קצה אחת שמבוססת על DNS. הטמעה של הרשאות מינימליות מצמצמת באופן משמעותי את שטח ההתקפה, בלי שיהיה צורך בכללי חומת אש נוספים או במארחי בסיס.

הגבלת הגישה לרשת למישור הבקרה באמצעות נקודת קצה (endpoint) מבוססת DNS. רמת הבקרה היא מרכז הניהול של אשכול Kubernetes, וחשיפתה לאינטרנט הופכת אותה למטרה עיקרית לתוקפים. ההגדרה הזו הופכת את תוכנית הבקרה לפרטית ומסירה אותה מהאינטרנט.

הגבלת הגישה למישור הבקרה עוזרת לוודא שרק מכשירים מהימנים ברשת הפרטית של הארגון יכולים לנהל את האשכול, וכך מצמצמת באופן משמעותי את הסיכון למתקפה חיצונית.

שימוש במערכת הפעלה שמותאמת לקונטיינרים כדי להטמיע מערכת הפעלה מנוהלת לקונטיינרים עם אבטחה משופרת. מערכות הפעלה לשימוש כללי כוללות הרבה תוכניות נוספות שלא נדרשות להפעלת קונטיינרים, ולכן הן יוצרות יעד גדול יותר ומיותר לתוקפים. ‫מערכת הפעלה שמותאמת לקונטיינרים היא מערכת הפעלה מינימלית ומוגבלת, שמצמצמת באופן משמעותי את שטח המתקפה הזה, כי היא כוללת רק את מה שנדרש. בנוסף, מערכת הפעלה שמותאמת לקונטיינרים היא מערכת הפעלה מנוהלת, ולכן Google מחילה עליה באופן אוטומטי תיקוני אבטחה. כך אפשר לוודא שנקודות חולשה קריטיות יתוקנו, ולצמצם את עומס העבודה התפעולי.

אם אתם מאפשרים למפתחים לגשת למשאבי Compute Engine באמצעות SSH, כדאי להגדיר OS Login עם אימות דו-שלבי. כדי להשתמש ב-OS Login לניהול מפתחות SSH באמצעות כללי מדיניות של ניהול זהויות והרשאות גישה (IAM), צריך להגדיר את האילוץ compute.requireOsLogin של מדיניות הארגון. שירות OS Login מרכז את הגישה למכונות וירטואליות על ידי קישור הרשאות SSH לזהות Google של המשתמש ולתפקידים ב-IAM, וכך מבטל את הצורך לנהל מפתחות SSH נפרדים בכל מכונה.

קישור הרשאות SSH לזהות של משתמש הוא חיוני לאבטחה, כי הסרה של תפקיד IAM של משתמש מבטלת באופן מיידי את הגישה שלו לכל המקרים, וכך מונעת כניסה לא מורשית מחשבונות לא פעילים. המערכת מפשטת את ניהול המפתחות כדי למנוע התפשטות של מפתחות, ומספקת נתיב ביקורת ברור ומרכזי לכל אירועי הכניסה ביומני הביקורת של Cloud. בנוסף, OS Login מאפשר לאכוף אימות דו-שלבי, וכך להוסיף שכבת הגנה חשובה מפני גניבה של מפתחות SSH ופרטי כניסה. התכונה הזו חוסמת תוקף עם אסימוני OAuth שנפרצו, אבל ללא סיסמה או מפתח אבטחה.

אלא אם יש צורך בכך, מומלץ למנוע יצירה של מכונות Compute Engine עם כתובות IP ציבוריות. האילוץ compute.vmExternalIpAccess מגדיר את קבוצת המכונות הווירטואליות ב-Compute Engine שיכולות להיות להן כתובות IP חיצוניות.

כדי לצמצם באופן משמעותי את החשיפה של מכונות Compute Engine לאינטרנט, אפשר למנוע מהן לקבל כתובות IP חיצוניות. כל מופע עם כתובת IP חיצונית ניתן לגילוי מיידי והופך למטרה ישירה לסריקות אוטומטיות, להתקפות כוח ברוטלי ולניסיונות לנצל נקודות חולשה. במקום זאת, אפשר לדרוש מהמופעים להשתמש בכתובות IP פרטיות ולנהל את הגישה באמצעות נתיבים מבוקרים, מאומתים ומתועדים, כמו מנהרת שרת proxy לאימות זהויות (IAP) או שרת באסטיון.

הגישה הזו של דחייה כברירת מחדל היא שיטה מומלצת בסיסית לאבטחה, שעוזרת למזער את שטח הפנים להתקפה ולאכוף גישת אפס אמון ברשת. המגבלה הזו לא חלה רטרואקטיבית.

שימוש באיחוד זהויות של עומסי עבודה ל-GKE כדי לבצע אימות ל-APIs מתוך עומסי עבודה של Google Kubernetes Engine ‏ (GKE). Google Cloud איחוד זהויות של עומסי עבודה ל-GKE מספק דרך פשוטה ובטוחה יותר להשיג זהויות כדי להתקשר אל Google Cloud ממשקי API מאשר מפתחות של חשבונות שירות.

כדי לצמצם את החשיפה לאינטרנט, יוצרים צמתים פרטיים. צמתים פרטיים של Google Kubernetes Engine‏ (GKE) עוזרים לצמצם את החשיפה לאינטרנט, כי הם מבטיחים שלצמתי GKE לא תהיה כתובת IP ציבורית.

שימוש בקבוצות Google לבקרת גישה מבוססת-תפקידים (RBAC), שמאפשרת גם שילוב עם שיטות ניהול חשבונות משתמשים קיימות, כמו ביטול גישה כשמישהו עוזב את הארגון. קבוצות Google ל-RBAC עוזרות לנהל ביעילות את הגישה לאשכול באמצעות ניהול זהויות והרשאות גישה (IAM) וקבוצות Google. הפתרון הזה מתאים לרוב הארגונים שמשתמשים בקבוצות Google.

אתם יכולים להשתמש ב-GKE Sandbox כדי לספק שכבת אבטחה נוספת שתעזור למנוע מקוד לא מהימן להשפיע על ליבת המארח בצמתים של אשכול Google Kubernetes Engine‏ (GKE). GKE Sandbox משפר את הבידוד של עומסי עבודה לא מהימנים או רגישים, ומספק שכבת הגנה נוספת מפני מתקפות של פירצה בקונטיינר.

משתמשים ב-Binary Authorization כדי לוודא שפריסת התמונות המהימנות מתבצעת ב-Google Kubernetes Engine‏ (GKE). Binary Authorization עוזר לוודא שרק קובצי אימג' מאומתים ומהימנים של קונטיינרים יכולים להיפרס באשכולות שלכם, וכך מחזקת את האבטחה של שרשרת האספקה של התוכנה.

משתמשים ב-Confidential GKE Nodes כדי לאכוף הצפנה של נתונים בשימוש בצמתים ובעומסי העבודה. צמתים חסויים של GKE עוזרים לאבטח עומסי עבודה רגישים מאוד על ידי הצפנת נתונים בשימוש באמצעות Confidential Computing.

להריץ רשויות אישורים משלכם כדי לנהל מפתחות ב-Google Kubernetes Engine‏ (GKE). שימוש ברשויות אישורים משלכם מאפשר שליטה רבה יותר בפעולות קריפטוגרפיות. כדי לבקש גישה לתכונה הזו, צריך לפנות לצוות ניהול החשבון ב- Google Cloud .

הצפנה של סודות Kubernetes במנוחה באמצעות מפתחות מנוהלים של Cloud Key Management Service‏ (Cloud KMS). שירות Cloud KMS מספק שכבת אבטחה נוספת לנתוני etcd, ומאפשר להצפין סודות של Kubernetes באמצעות מפתח שנמצא בבעלותכם ובניהולכם.

שימוש במפתחות הצפנה בניהול הלקוח (CMEK) להצפנת דיסק האתחול של הצומת. מפתחות הצפנה בניהול הלקוח (CMEK) מאפשרים לכם להצפין את דיסק האתחול של צומת Kubernetes באמצעות מפתח שבבעלותכם ובניהולכם.