Linee guida per l'infrastruttura

Disattiva l'accesso alla porta seriale impostando il vincolo della policy dell'organizzazione compute.disableSerialPortAccess. Disattiva l'accesso alla porta seriale sulle VM di Compute Engine per eliminare un canale di accesso che aggira le regole firewall e altri controlli di sicurezza di rete. La console seriale interattiva è pensata principalmente per la risoluzione dei problemi di emergenza, ma, se la lasci abilitata, puoi creare una backdoor persistente che può essere presa di mira dagli autori degli attacchi.

La disattivazione dell'accesso alla porta seriale contribuisce a rafforzare una strategia di sicurezza in profondità forzando tutto l'accesso amministrativo tramite percorsi standard controllati come SSH, che puoi proteggere attivando Identity and Access Management (IAM) e Identity-Aware Proxy (IAP).

Disattiva la creazione di subnet esterne IPv6, a meno che non sia specificamente richiesta. Per ridurre la superficie di attacco, valuta la possibilità di disattivare IPv6 su sistemi e reti in cui non è gestito o richiesto attivamente. Molte organizzazioni dispongono di controlli di sicurezza e monitoraggio maturi per IPv4, ma i loro strumenti e criteri potrebbero non estendersi completamente a IPv6, il che può creare un punto cieco significativo per le minacce. L'esecuzione di una rete dual-stack introduce anche una complessità operativa, che richiede configurazioni ed competenze specifiche per la gestione e la risoluzione dei problemi in modo efficace. Pertanto, se non hai un chiaro motivo aziendale per utilizzare IPv6, la disattivazione può semplificare l'ambiente e garantire che tutto il traffico venga filtrato in modo coerente in base alla tua postura di sicurezza IPv4 consolidata.

Attiva gli attributi del Trusted Platform Module virtuale (vTPM) e del monitoraggio dell'integrità di Shielded VM per le tue istanze. Gli attributi vTPM e monitoraggio dell'integrità fanno parte del processo di creazione dell'istanza VM predefinito. Utilizza gli attributi vTPM e di monitoraggio dell'integrità di Shielded VM per assicurarti che le VM vengano avviate solo con codice attendibile e non modificato.

Il vTPM fornisce un criptoprocessore virtuale sicuro che genera e archivia le misurazioni crittografiche dell'intera sequenza di avvio, dal firmware UEFI ai driver del kernel. Il monitoraggio dell'integrità confronta continuamente queste misurazioni del runtime con una baseline nota stabilita al momento della creazione della VM.

Queste funzionalità forniscono una catena di attendibilità verificabile e ti avvisano automaticamente o intervengono se rilevano modifiche dannose, come quelle di un bootkit o rootkit. Le funzionalità di Shielded VM contribuiscono a mantenere l'integrità del workload dal momento in cui l'istanza viene accesa.

Utilizza i cluster Google Kubernetes Engine (GKE) Autopilot. I cluster Autopilot offrono solide misure di sicurezza, con molte best practice di sicurezza per container o GKE abilitate per impostazione predefinita.

Utilizza i service account Identity and Access Management (IAM) con privilegi minimi per i cluster e i nodi Google Kubernetes Engine (GKE). L'accesso al control plane GKE è limitato a un singolo endpoint basato su DNS. L'implementazione del privilegio minimo riduce notevolmente la superficie di attacco senza la necessità di ulteriori regole firewall o host bastion.

Limita l'accesso di rete al control plane utilizzando un endpoint basato su DNS. Il control plane è il centro di gestione di un cluster Kubernetes e la sua esposizione a internet lo rende un obiettivo primario per gli autori degli attacchi. Questa impostazione rende privato il piano di controllo e lo rimuove da internet.

La limitazione dell'accesso al control plane contribuisce a garantire che solo i dispositivi attendibili all'interno della rete privata della tua organizzazione possano gestire il cluster, riducendo drasticamente il rischio di un attacco esterno.

Utilizza Container-Optimized OS per implementare un sistema operativo per container gestito e con protezione avanzata. I sistemi operativi generici includono molti programmi aggiuntivi che non sono necessari per eseguire i container e quindi creano un target più ampio e non necessario per gli autori degli attacchi. Container-Optimized OS è un sistema operativo minimale e bloccato che riduce notevolmente questa superficie di attacco includendo solo ciò che è necessario. In quanto sistema operativo gestito, Container-Optimized OS dispone anche di patch di sicurezza che vengono applicate automaticamente da Google, il che contribuisce a garantire la correzione delle vulnerabilità critiche e a ridurre il carico di lavoro operativo.

Se consenti agli sviluppatori di accedere alle risorse Compute Engine utilizzando SSH, configura OS Login con la verifica in due passaggi. Utilizza OS Login per gestire le chiavi SSH con le policy IAM (Identity and Access Management) impostando il vincolo della policy dell'organizzazione compute.requireOsLogin. OS Login centralizza l'accesso alle VM collegando le autorizzazioni SSH all'identità Google e ai ruoli IAM di un utente, eliminando la necessità di gestire singole chiavi SSH su ogni macchina.

Collegare le autorizzazioni SSH all'identità di un utente è fondamentale per la sicurezza, perché la rimozione del ruolo IAM di un utente revoca immediatamente il suo accesso a tutte le istanze, proteggendo da accessi non autorizzati da account obsoleti. Il sistema semplifica la gestione delle chiavi per contribuire a prevenire la proliferazione delle chiavi e fornisce una traccia di controllo chiara e centralizzata per tutti gli eventi di accesso in Cloud Audit Logs. OS Login ti consente anche di applicare l'autenticazione a due fattori, aggiungendo un livello di protezione fondamentale contro le credenziali e le chiavi SSH rubate. Questa funzionalità blocca un malintenzionato con token OAuth compromessi, ma senza password o token di sicurezza.

Se non necessario, impedisci la creazione di istanze Compute Engine con indirizzi IP pubblici. Il vincolo dell'elenco compute.vmExternalIpAccess definisce l'insieme di istanze VM di Compute Engine che possono avere indirizzi IP esterni.

Impedisci alle istanze Compute Engine di avere indirizzi IP esterni per ridurre drasticamente la loro esposizione a internet. Qualsiasi istanza con un indirizzo IP esterno è immediatamente rilevabile e diventa un obiettivo diretto per scansioni automatizzate, attacchi di tipo brute force e tentativi di sfruttamento delle vulnerabilità. Richiedi invece alle istanze di utilizzare indirizzi IP privati e gestisci l'accesso tramite percorsi controllati, autenticati e registrati come il tunnel Identity-Aware Proxy (IAP) o un bastion host.

L'adozione di questa postura di negazione predefinita è una best practice di sicurezza fondamentale che contribuisce a ridurre al minimo la superficie di attacco e applica un approccio zero-trust alla tua rete. Questo vincolo non è retroattivo.

Utilizza la federazione delle identità per i carichi di lavoro per GKE per l'autenticazione alle API Google Cloud dai carichi di lavoro di Google Kubernetes Engine (GKE). Workload Identity Federation for GKE offre un modo più semplice e sicuro per ottenere identità per chiamare le API Google Cloud rispetto alle chiavi del account di servizio.

Crea nodi privati per ridurre l'esposizione a internet. I nodi Google Kubernetes Engine (GKE) privati contribuiscono a ridurre l'esposizione a internet garantendo che i nodi GKE non abbiano un indirizzo IP pubblico.

Utilizza Google Gruppi per controllo dell'accesso basato sui ruoli (RBAC), che ti consente anche di integrarti con le tue pratiche di gestione degli account utente esistenti, ad esempio la revoca dell'accesso quando qualcuno lascia l'organizzazione. Google Gruppi per RBAC consente una gestione efficiente dell'accesso al cluster utilizzando Identity and Access Management (IAM) e Google Gruppi, che è adatto alla maggior parte delle organizzazioni che utilizzano Google Gruppi.

Utilizza GKE Sandbox per fornire un ulteriore livello di sicurezza per impedire che il codice non attendibile influenzi il kernel host sui nodi del cluster Google Kubernetes Engine (GKE). GKE Sandbox migliora l'isolamento dei carichi di lavoro non attendibili o sensibili, fornendo un ulteriore livello di protezione dagli attacchi di container escape.

Utilizza l'autorizzazione binaria per assicurarti che le immagini attendibili vengano sottoposte a deployment su Google Kubernetes Engine (GKE). Autorizzazione binaria contribuisce a garantire che nei tuoi cluster possano essere implementate solo immagini container verificate e attendibili, rafforzando la sicurezza della catena di fornitura del software.

Utilizza Confidential GKE Node per applicare la crittografia dei dati in uso nei nodi e nei workload. I Confidential GKE Node contribuiscono a proteggere i carichi di lavoro altamente sensibili criptando i dati in uso tramite Confidential Computing.

Esegui le tue autorità di certificazione per gestire le chiavi in Google Kubernetes Engine (GKE). L'utilizzo delle tue autorità di certificazione offre un maggiore controllo sulle operazioni crittografiche. Per richiedere l'accesso a questa funzionalità, contatta il team dedicato al tuo account Google Cloud .

Cripta i secret di Kubernetes a riposo utilizzando le chiavi gestite di Cloud Key Management Service (Cloud KMS). Cloud KMS fornisce un ulteriore livello di sicurezza per i dati etcd consentendoti di criptare i secret di Kubernetes con una chiave di tua proprietà e gestione.

Utilizza le chiavi di crittografia gestite dal cliente (CMEK) per la crittografia del disco di avvio del nodo. CMEK ti consente di criptare il disco di avvio di un nodo Kubernetes con una chiave di tua proprietà e gestione.