Diretrizes de infraestrutura

Desative o acesso à porta serial definindo a restrição da política da organização compute.disableSerialPortAccess. Desative o acesso à porta serial nas VMs do Compute Engine para eliminar um canal de acesso que ignora as regras de firewall e outros controles de segurança de rede. O console serial interativo é destinado principalmente à solução de problemas de emergência, mas, quando você o deixa ativado, é possível criar uma porta dos fundos persistente que pode ser alvo de invasores.

Desativar o acesso à porta serial ajuda a reforçar uma postura de segurança de defesa em profundidade, forçando todo o acesso administrativo por caminhos padrão auditados, como o SSH, que pode ser protegido ativando o Identity and Access Management (IAM) e o Identity-Aware Proxy (IAP).

Desative a criação de sub-redes externas IPv6, a menos que seja especificamente necessário. Para reduzir a superfície de ataque, desative o IPv6 em sistemas e redes em que ele não é gerenciado ou necessário. Muitas organizações têm controles e monitoramento de segurança avançados para IPv4, mas as ferramentas e políticas podem não se estender totalmente ao IPv6, o que pode criar um ponto cego significativo para ameaças. Executar uma rede de pilha dupla também introduz complexidade operacional, exigindo configurações e conhecimentos específicos para gerenciar e resolver problemas de maneira eficaz. Portanto, se você não tiver um direcionador de negócios claro para o IPv6, desativá-lo poderá simplificar seu ambiente e garantir que todo o tráfego seja filtrado de forma consistente pela sua postura de segurança IPv4 estabelecida.

Ative o módulo de plataforma confiável virtual (vTPM) e os atributos de monitoramento de integridade da VM protegida para suas instâncias. O vTPM e os atributos de monitoramento de integridade fazem parte do processo padrão de criação de instâncias de VM. Use os atributos de vTPM e monitoramento de integridade da VM protegida para garantir que as VMs sejam inicializadas apenas com código confiável e não modificado.

O vTPM fornece um criptoprocessador virtual seguro que gera e armazena medições criptográficas de toda a sequência de inicialização, desde o firmware UEFI até os drivers de kernel. Em seguida, o monitoramento de integridade compara continuamente essas medições de tempo de execução com um valor de referência conhecido e válido estabelecido quando a VM foi criada.

Esses recursos oferecem uma cadeia de confiança verificável e alertam automaticamente você ou tomam medidas se detectarem modificações maliciosas, como as de um bootkit ou rootkit. Os recursos da VM protegida ajudam a manter a integridade da sua carga de trabalho desde o momento em que a instância é ligada.

Use clusters do Autopilot do Google Kubernetes Engine (GKE). Os clusters do Autopilot oferecem medidas de segurança robustas, com muitas práticas recomendadas de segurança para contêineres ou GKE ativadas por padrão.

Use contas de serviço do Identity and Access Management (IAM) com privilégios mínimos para clusters e nós do Google Kubernetes Engine (GKE). O acesso ao plano de controle do GKE é restrito a um único endpoint baseado em DNS. A implementação do princípio de privilégio mínimo reduz significativamente a superfície de ataque sem a necessidade de regras de firewall ou hosts bastion adicionais.

Restrinja o acesso de rede ao plano de controle usando um endpoint baseado em DNS. O plano de controle é o centro de gerenciamento de um cluster do Kubernetes, e expô-lo à Internet o torna um alvo principal para invasores. Essa configuração torna o plano de controle privado e o remove da Internet.

Restringir o acesso ao plano de controle ajuda a garantir que apenas dispositivos de confiança na rede particular da organização possam gerenciar o cluster, reduzindo drasticamente o risco de um ataque externo.

Use o Container-Optimized OS para implementar um sistema operacional de contêiner reforçado e gerenciado. Os sistemas operacionais de uso geral incluem muitos programas extras que não são necessários para executar contêineres e, portanto, criam um alvo maior e desnecessário para invasores. O Container-Optimized OS é um sistema operacional minimalista e bloqueado que reduz significativamente essa superfície de ataque, incluindo apenas o necessário. Como um SO gerenciado, o Container-Optimized OS também tem patches de segurança aplicados automaticamente pelo Google, o que ajuda a garantir que as vulnerabilidades críticas sejam corrigidas e reduz sua carga de trabalho operacional.

Se você permitir que os desenvolvedores acessem os recursos do Compute Engine usando SSH, configure o Login do SO com a verificação em duas etapas. Use o Login do SO para gerenciar chaves SSH com políticas do Identity and Access Management (IAM) definindo a restrição da política da organização compute.requireOsLogin. O Login do SO centraliza o acesso à VM vinculando as permissões SSH à identidade do Google e aos papéis do IAM de um usuário, eliminando a necessidade de gerenciar chaves SSH individuais em cada máquina.

Vincular as permissões de SSH à identidade de um usuário é crucial para a segurança. Isso porque a remoção da função do IAM de um usuário revoga instantaneamente o acesso dele em todas as instâncias, protegendo contra entradas não autorizadas de contas inativas. O sistema simplifica o gerenciamento de chaves para evitar a proliferação delas e oferece uma trilha de auditoria clara e centralizada para todos os eventos de login nos Registros de auditoria do Cloud. O Login do SO também permite aplicar a autenticação de dois fatores, adicionando uma camada importante de proteção contra chaves SSH e credenciais roubadas. Um invasor com tokens OAuth comprometidos, mas sem uma senha ou chave de segurança, está bloqueado por esse recurso.

A menos que seja necessário, evite a criação de instâncias do Compute Engine com endereços IP públicos. A restrição de lista compute.vmExternalIpAccess define o conjunto de instâncias de VM do Compute Engine que podem ter endereços IP externo.

Impeça que as instâncias do Compute Engine tenham endereços IP externo para reduzir drasticamente a exposição delas à Internet. Qualquer instância com um endereço IP externo é imediatamente detectável e se torna um alvo direto para verificações automatizadas, ataques de força bruta e tentativas de exploração de vulnerabilidades. Em vez disso, exija que as instâncias usem endereços IP particulares e gerencie o acesso por caminhos controlados, autenticados e registrados, como o túnel do Identity-Aware Proxy (IAP) ou um Bastion Host.

Adotar essa postura de negação por padrão é uma prática recomendada de segurança fundamental que ajuda a minimizar a superfície de ataque e impõe uma abordagem de confiança zero à sua rede. Essa restrição não é retroativa.

Use a Federação de Identidade da Carga de Trabalho para GKE para autenticar as APIs do Google Cloud em cargas de trabalho do Google Kubernetes Engine (GKE). A federação de identidade da carga de trabalho para GKE oferece uma maneira mais simples e segura de obter identidades para chamar APIs Google Cloud do que chaves de conta de serviço.

Crie nós particulares para reduzir a exposição à Internet. Os nós particulares do Google Kubernetes Engine (GKE) ajudam a reduzir a exposição à Internet, garantindo que os nós do GKE não tenham um endereço IP público.

Use os Grupos do Google para controle de acesso baseado em função (RBAC, na sigla em inglês), que também permite a integração com suas práticas de gerenciamento de contas de usuário atuais, como a revogação do acesso quando alguém sai da sua organização. Os Grupos do Google para RBAC ajudam a gerenciar o acesso ao cluster de maneira eficiente usando o Identity and Access Management (IAM) e os Grupos do Google, o que é adequado para a maioria das organizações que usam os Grupos do Google.

Use o GKE Sandbox para fornecer uma camada extra de segurança e evitar que códigos não confiáveis afetem o kernel do host nos nós do cluster do Google Kubernetes Engine (GKE). O GKE Sandbox aumenta o isolamento de cargas de trabalho não confiáveis ou sensíveis, fornecendo uma camada extra de proteção contra ataques de escape de contêiner.

Use a autorização binária para garantir que imagens confiáveis sejam implantadas no Google Kubernetes Engine (GKE). A autorização binária ajuda a garantir que apenas imagens de contêiner verificadas e confiáveis possam ser implantadas nos seus clusters, reforçando a segurança da cadeia de suprimentos de software.

Use os nós confidenciais do GKE para aplicar a criptografia de dados em uso nos seus nós e cargas de trabalho. Os nós confidenciais do GKE ajudam a proteger cargas de trabalho altamente sensíveis criptografando dados em uso com a computação confidencial.

Execute suas próprias autoridades certificadoras para gerenciar chaves no Google Kubernetes Engine (GKE). Usar suas próprias autoridades certificadoras oferece mais controle sobre as operações criptográficas. Para solicitar acesso a esse recurso, entre em contato com a equipe da sua conta do Google Cloud .

Criptografar secrets do Kubernetes em repouso usando chaves gerenciadas do Cloud Key Management Service (Cloud KMS). O Cloud KMS oferece uma camada extra de segurança para dados do etcd, permitindo que você criptografe secrets do Kubernetes com uma chave que você tem e gerencia.

Use chaves de criptografia gerenciadas pelo cliente (CMEK) para criptografia de disco de inicialização de nós. Com a CMEK, é possível criptografar o disco de inicialização de um nó do Kubernetes com uma chave que você possui e gerencia.