以下关于最低可行安全平台的指南与“基础架构”支柱相符。
基本级准则
请先遵循以下基础架构准则。
| 项 | 禁止访问虚拟机串行端口 |
|---|---|
| 说明 | 通过设置 停用串行端口访问权限有助于通过强制所有管理员权限通过标准、经过审核的途径(例如 SSH)来实施纵深防御安全态势,您可以通过启用 Identity and Access Management (IAM) 和 Identity-Aware Proxy (IAP) 来保护这些途径。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.24 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
|
| 项 | 停用 IPv6(除非需要) |
|---|---|
| 说明 | 除非有特殊要求,否则停用 IPv6 外部子网创建功能。为了缩小受攻击面,请考虑在未主动管理或不需要 IPv6 的系统和网络上停用 IPv6。许多组织针对 IPv4 制定了成熟的安全控制措施和监控措施,但其工具和政策可能无法完全扩展到 IPv6,这可能会导致出现严重的威胁盲区。运行双堆栈网络也会带来操作复杂性,需要特定的配置和专业知识才能有效地管理和排查问题。因此,如果您没有明确的 IPv6 业务驱动因素,停用 IPv6 可以简化您的环境,并确保所有流量都通过您已建立的 IPv4 安全态势进行一致的过滤。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.25 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |
| 项 | 启用安全强化型虚拟机功能 |
|---|---|
| 说明 | 为实例启用安全强化型虚拟机的虚拟可信平台模块 (vTPM) 和完整性监控属性。vTPM 和完整性监控属性是默认虚拟机实例创建过程的一部分。使用安全强化型虚拟机的 vTPM 和完整性监控属性,有助于确保虚拟机仅使用可信的未修改代码启动。 vTPM 提供了一个安全的虚拟加密处理器,用于生成和存储从 UEFI 固件到内核驱动程序的整个启动序列的加密测量结果。然后,完整性监控会持续将这些运行时测量结果与虚拟机首次创建时建立的已知良好基准进行比较。 这些功能可提供可验证的信任链,并在检测到任何恶意修改(例如来自启动工具包或 rootkit 的修改)时自动提醒您或采取相应措施。安全强化型虚拟机功能有助于从实例启动的那一刻起就保持工作负载的完整性。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.28 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |
| 项 | 使用 GKE Autopilot |
|---|---|
| 说明 | 使用 Google Kubernetes Engine (GKE) Autopilot 集群。Autopilot 集群提供强大的安全措施,默认启用许多容器或 GKE 安全最佳实践。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.29 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
|
| 项 | 为 GKE 集群和节点使用最小权限账号 |
|---|---|
| 说明 | 为 Google Kubernetes Engine (GKE) 集群和节点使用最小权限 Identity and Access Management (IAM) 服务账号。对 GKE 控制平面的访问权限仅限于单个基于 DNS 的端点。实施最小权限原则可显著缩小攻击面,而无需额外的防火墙规则或堡垒主机。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.30 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |
| 项 | 限制控制平面访问权限 |
|---|---|
| 说明 | 使用基于 DNS 的端点限制对控制平面的网络访问。控制平面是 Kubernetes 集群的管理中心,将其暴露给互联网会使其成为攻击者的主要目标。此设置会将控制方案设为私密,并将其从互联网中移除。 限制控制平面访问权限有助于确保只有组织专用网络中的可信设备才能管理集群,从而大幅降低外部攻击的风险。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.31 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
|
| 项 | 使用 Container-Optimized OS |
|---|---|
| 说明 | 使用 Container-Optimized OS 实现安全强化型受管容器操作系统。通用操作系统包含许多运行容器不需要的额外程序,因此会为攻击者提供更大的不必要的目标。Container-Optimized OS 是一种极简的锁定操作系统,仅包含必要的组件,可显著缩小此攻击面。作为一种托管式操作系统,Container-Optimized OS 还具有由 Google 自动应用的安全补丁,这有助于确保关键漏洞得到修复并减少您的运营工作负载。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.41 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |
中级指南
在实现基本准则后,请实现以下基础设施准则。
| 项 | 为虚拟机强制启用 OS Login |
|---|---|
| 说明 | 如果您允许开发者使用 SSH 访问 Compute Engine 资源,请配置 OS Login 及两步验证。通过设置 将 SSH 权限与用户身份相关联对于安全性至关重要,因为移除用户的 IAM 角色会立即撤消其对所有实例的访问权限,从而防范陈旧账号的未经授权的访问。该系统可简化密钥管理,有助于防止密钥蔓延,并可在 Cloud Audit Logs 中提供清晰的集中式登录事件审核轨迹。OS Login 还允许您强制执行双重身份验证,从而增加一层重要的保护,以防范 SSH 密钥和凭据被盗。此功能可以阻止只有被破解的 OAuth 令牌但没有任何密码或安全密钥的攻击者。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.26 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |
| 项 | 限制虚拟机上的外部 IP 地址 |
|---|---|
| 说明 | 除非需要,否则请阻止创建具有公共 IP 地址的 Compute Engine 实例。 防止 Compute Engine 实例拥有外部 IP 地址,以大幅减少其在互联网上的曝光度。任何具有外部 IP 地址的实例都会立即被发现,并成为自动化扫描、暴力攻击和漏洞利用尝试的直接目标。请改为要求实例使用专用 IP 地址,并通过受控、经过身份验证且已记录的途径(例如 Identity-Aware Proxy (IAP) 隧道或堡垒主机)管理访问权限。 采用这种默认拒绝的姿态是一项基本的安全最佳实践,有助于最大限度地减少攻击面,并对您的网络强制实施零信任方法。此限制条件不具有追溯性。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.27 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |
| 项 | 使用 Workload Identity Federation for GKE |
|---|---|
| 说明 | 使用 Workload Identity Federation for GKE 从 Google Kubernetes Engine (GKE) 工作负载向 Google Cloud API 进行身份验证。与服务账号密钥相比,Workload Identity Federation for GKE 提供了一种更简单、更安全的方式来获取身份以调用 Google Cloud API。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.32 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |
| 项 | 使用专用 GKE 节点 |
|---|---|
| 说明 | 创建专用节点以减少互联网暴露。专用 Google Kubernetes Engine (GKE) 节点可确保 GKE 节点没有公共 IP 地址,从而有助于减少互联网暴露。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.33 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |
| 项 | 使用 Google 群组实现 RBAC |
|---|---|
| 说明 | 使用 Google 群组进行基于角色的访问权限控制 (RBAC),您还可以集成现有的用户账号管理做法,例如,您可以撤消已离开组织的人员的访问权限。Google RBAC 群组可帮助您使用 Identity and Access Management (IAM) 和 Google 群组高效管理集群访问权限,非常适合使用 Google 群组的大多数组织。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.34 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |
高级别指南
在实现中级准则后,请实现以下基础设施准则。
| 项 | 启用 GKE Sandbox |
|---|---|
| 说明 | 使用 GKE Sandbox 增加一层额外的安全保障,以帮助防止不可信代码影响 Google Kubernetes Engine (GKE) 集群节点上的主机内核。GKE Sandbox 可增强不受信任或敏感工作负载的工作负载隔离,从而提供额外的保护层来防范容器逃逸攻击。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.35 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |
| 项 | 强制执行 Binary Authorization |
|---|---|
| 说明 | 使用 Binary Authorization 确保可信映像部署到 Google Kubernetes Engine (GKE)。Binary Authorization 有助于确保仅在集群中部署经过验证且可信的容器映像,从而增强软件供应链安全性。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.36 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |
| 项 | 使用机密 Google Kubernetes Engine 节点 |
|---|---|
| 说明 | 使用机密 GKE 节点强制加密节点和工作负载中使用的数据。机密 GKE 节点通过机密计算加密使用中的数据,有助于保护高度敏感的工作负载。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.37 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
|
| 项 | 在 GKE 中运行自定义证书授权机构 |
|---|---|
| 说明 | 运行您自己的证书授权机构,以管理 Google Kubernetes Engine (GKE) 中的密钥。使用您自己的证书授权机构可更好地控制加密操作。如要申请使用此功能,请与您的 Google Cloud 客户支持团队联系。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.38 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
|
| 项 | 使用 Cloud KMS 加密 Kubernetes Secret |
|---|---|
| 说明 | 使用 Cloud Key Management Service (Cloud KMS) 管理的密钥加密 Kubernetes Secret(静态)。Cloud KMS 可让您使用自己所拥有和管理的密钥对 Kubernetes Secret 进行加密,从而为 etcd 数据提供额外的安全防护。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.39 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |
| 项 | 将 CMEK 用于节点启动磁盘 |
|---|---|
| 说明 | 使用客户管理的加密密钥 (CMEK) 加密节点启动磁盘。借助 CMEK,您可以使用自己拥有和管理的密钥加密 Kubernetes 节点的启动磁盘。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.40 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |