Pedoman infrastruktur

Nonaktifkan akses port serial dengan menetapkan batasan kebijakan organisasi compute.disableSerialPortAccess. Nonaktifkan akses port serial di VM Compute Engine Anda untuk membantu menghilangkan saluran akses yang melewati aturan firewall dan kontrol keamanan jaringan lainnya. Konsol serial interaktif terutama ditujukan untuk pemecahan masalah darurat, tetapi, jika Anda membiarkannya diaktifkan, Anda dapat membuat pintu belakang persisten yang dapat ditargetkan oleh penyerang.

Menonaktifkan akses port serial membantu menerapkan postur keamanan pertahanan mendalam dengan mewajibkan semua akses administratif melalui jalur standar yang diaudit seperti SSH, yang dapat Anda lindungi dengan mengaktifkan Identity and Access Management (IAM) dan Identity-Aware Proxy (IAP).

Nonaktifkan pembuatan subnet eksternal IPv6 kecuali jika diperlukan secara khusus. Untuk mengurangi permukaan serangan, pertimbangkan untuk menonaktifkan IPv6 pada sistem dan jaringan yang tidak dikelola atau diperlukan secara aktif. Banyak organisasi memiliki kontrol dan pemantauan keamanan yang matang untuk IPv4, tetapi alat dan kebijakan mereka mungkin tidak sepenuhnya mencakup IPv6, yang dapat menciptakan titik buta yang signifikan terhadap ancaman. Menjalankan jaringan dual-stack juga menimbulkan kompleksitas operasional, yang memerlukan konfigurasi dan keahlian khusus untuk mengelola dan memecahkan masalah secara efektif. Oleh karena itu, jika Anda tidak memiliki pendorong bisnis yang jelas untuk IPv6, menonaktifkannya dapat menyederhanakan lingkungan Anda dan memastikan semua traffic difilter secara konsisten melalui postur keamanan IPv4 yang telah ditetapkan.

Aktifkan atribut virtual trusted platform module (vTPM) dan pemantauan integritas Shielded VM untuk instance Anda. Atribut vTPM dan pemantauan integritas adalah bagian dari proses pembuatan instance VM default. Gunakan atribut vTPM dan pemantauan integritas Shielded VM untuk membantu memastikan bahwa VM Anda hanya melakukan booting dengan kode tepercaya yang tidak dimodifikasi.

vTPM menyediakan kriptoprosesor virtual yang aman yang menghasilkan dan menyimpan pengukuran kriptografi dari seluruh urutan booting, mulai dari firmware UEFI hingga driver kernel. Pemantauan integritas kemudian terus membandingkan pengukuran runtime ini dengan dasar pengukuran baik yang diketahui yang ditetapkan saat VM pertama kali dibuat.

Fitur ini menyediakan rantai kepercayaan yang dapat diverifikasi dan secara otomatis memberi tahu Anda atau mengambil tindakan jika mendeteksi modifikasi berbahaya, seperti yang berasal dari bootkit atau rootkit. Fitur Shielded VM membantu menjaga integritas beban kerja Anda sejak instance diaktifkan.

Menggunakan cluster Autopilot Google Kubernetes Engine (GKE). Cluster Autopilot menawarkan langkah-langkah keamanan yang kuat, dengan banyak praktik terbaik keamanan untuk container atau GKE yang diaktifkan secara default.

Gunakan akun layanan Identity and Access Management (IAM) dengan hak istimewa terendah untuk cluster dan node Google Kubernetes Engine (GKE). Akses ke bidang kontrol GKE dibatasi ke satu endpoint berbasis DNS. Menerapkan hak istimewa terendah akan mengurangi permukaan serangan secara signifikan tanpa memerlukan aturan firewall tambahan atau host bastion.

Membatasi akses jaringan ke bidang kontrol menggunakan endpoint berbasis DNS. Bidang kontrol adalah pusat pengelolaan untuk cluster Kubernetes, dan mengeksposnya ke internet menjadikannya target utama bagi penyerang. Setelan ini membuat bidang kontrol menjadi pribadi dan menghapusnya dari internet.

Membatasi akses bidang kontrol membantu memastikan bahwa hanya perangkat tepercaya dalam jaringan pribadi organisasi Anda yang dapat mengelola cluster, sehingga secara drastis mengurangi risiko serangan eksternal.

Gunakan Container-Optimized OS untuk menerapkan OS container yang telah melalui proses hardening dan dikelola. Sistem operasi serbaguna mencakup banyak program tambahan yang tidak diperlukan untuk menjalankan container dan oleh karena itu menciptakan target yang lebih besar dan tidak perlu bagi penyerang. Container-Optimized OS adalah sistem operasi minimalis dan terkunci yang secara signifikan mengurangi permukaan serangan ini dengan hanya menyertakan apa yang diperlukan. Sebagai OS terkelola, Container-Optimized OS juga memiliki patch keamanan yang diterapkan secara otomatis oleh Google, yang membantu memastikan kerentanan penting diperbaiki dan mengurangi beban kerja operasional Anda.

Jika Anda mengizinkan developer mengakses resource Compute Engine menggunakan SSH, konfigurasi Login OS dengan verifikasi 2 langkah. Gunakan Login OS untuk mengelola kunci SSH dengan kebijakan Identity and Access Management (IAM) dengan menetapkan batasan kebijakan organisasi compute.requireOsLogin. Login OS memusatkan akses VM dengan mengikat izin SSH ke identitas Google dan peran IAM pengguna, sehingga tidak perlu mengelola kunci SSH satu per satu di setiap mesin.

Mengaitkan izin SSH dengan identitas pengguna sangat penting untuk keamanan karena menghapus peran IAM pengguna akan langsung mencabut aksesnya di semua instance, sehingga melindungi dari entri tidak sah dari akun yang tidak aktif. Sistem ini menyederhanakan pengelolaan kunci untuk membantu mencegah penumpukan kunci dan menyediakan jejak audit yang jelas dan terpusat untuk semua peristiwa login di Cloud Audit Logs. Login OS juga memungkinkan Anda menerapkan autentikasi 2 langkah, yang menambahkan lapisan perlindungan penting terhadap kredensial dan kunci SSH yang dicuri. Penyerang yang memiliki token OAuth yang telah disusupi tetapi tidak memiliki sandi atau kunci keamanan akan diblokir oleh fitur ini.

Kecuali jika diperlukan, cegah pembuatan instance Compute Engine dengan alamat IP publik. Batasan daftar compute.vmExternalIpAccess menentukan kumpulan instance VM Compute Engine yang dapat memiliki alamat IP eksternal.

Mencegah instance Compute Engine memiliki alamat IP eksternal untuk mengurangi eksposurnya ke internet secara drastis. Setiap instance dengan alamat IP eksternal dapat langsung ditemukan dan menjadi target langsung untuk pemindaian otomatis, serangan brute force, dan upaya untuk mengeksploitasi kerentanan. Sebagai gantinya, mewajibkan instance menggunakan alamat IP pribadi dan mengelola akses melalui jalur yang terkontrol, diautentikasi, dan dicatat seperti tunnel Identity-Aware Proxy (IAP) atau host bastion.

Mengadopsi postur tolak secara default ini adalah praktik terbaik keamanan mendasar yang membantu meminimalkan permukaan serangan dan menerapkan pendekatan zero-trust ke jaringan Anda. Batasan ini tidak berlaku surut.

Gunakan Workload Identity Federation for GKE untuk melakukan autentikasi ke Google Cloud API dari beban kerja Google Kubernetes Engine (GKE). Workload Identity Federation for GKE menyediakan cara yang lebih sederhana dan aman untuk mendapatkan identitas guna memanggil API Google Cloud daripada kunci akun layanan.

Buat node pribadi untuk mengurangi eksposur internet. Node Google Kubernetes Engine (GKE) pribadi membantu mengurangi eksposur internet dengan memastikan node GKE tidak memiliki alamat IP publik.

Gunakan Google Grup untuk kontrol akses berbasis peran (RBAC), yang juga memungkinkan Anda mengintegrasikan praktik pengelolaan akun pengguna yang ada, seperti mencabut akses saat seseorang keluar dari organisasi. Google Grup untuk RBAC membantu memberikan pengelolaan akses cluster yang efisien menggunakan Identity and Access Management (IAM) dan Google Grup, yang cocok untuk sebagian besar organisasi yang menggunakan Google Grup.

Gunakan GKE Sandbox untuk memberikan lapisan keamanan tambahan guna membantu mencegah kode yang tidak tepercaya memengaruhi kernel host di node cluster Google Kubernetes Engine (GKE) Anda. GKE Sandbox meningkatkan isolasi workload untuk workload yang tidak tepercaya atau sensitif, sehingga memberikan lapisan perlindungan tambahan terhadap serangan keluar dari container.

Gunakan Otorisasi Biner untuk memastikan image tepercaya di-deploy ke Google Kubernetes Engine (GKE). Otorisasi Biner membantu memastikan bahwa hanya image container terverifikasi dan tepercaya yang dapat di-deploy di cluster Anda, sehingga memperkuat keamanan supply chain software.

Gunakan Confidential GKE Node untuk menerapkan enkripsi data aktif di node dan workload Anda. Confidential GKE Node membantu mengamankan beban kerja yang sangat sensitif dengan mengenkripsi data yang sedang digunakan melalui confidential computing.

Jalankan otoritas sertifikat Anda sendiri untuk mengelola kunci dalam Google Kubernetes Engine (GKE). Menggunakan otoritas sertifikat Anda sendiri memberikan kontrol yang lebih besar atas operasi kriptografi. Untuk meminta akses ke fitur ini, hubungi Google Cloud tim akun Anda.

Enkripsi Secret Kubernetes dalam penyimpanan menggunakan kunci yang dikelola Cloud Key Management Service (Cloud KMS). Cloud KMS memberikan lapisan keamanan tambahan untuk data etcd dengan memungkinkan Anda mengenkripsi Secret Kubernetes dengan kunci yang Anda miliki dan kelola.

Gunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk enkripsi boot disk node. CMEK memungkinkan Anda mengenkripsi boot disk node Kubernetes dengan kunci yang Anda miliki dan kelola.