Richtlinien für die Netzwerksicherheit

Die folgenden Richtlinien für die minimale funktionsfähige Sicherheitsplattform stimmen mit dem Säule „Netzwerksicherheit“ überein.

Richtlinien für die Basisstufe

Implementieren Sie zuerst die folgenden Richtlinien zur Netzwerksicherheit.

Element	Erstellen des Standardnetzwerks blockieren
Beschreibung	Die boolesche Einschränkung `compute.skipDefaultNetworkCreation` überspringt die Erstellung des Standardnetzwerks und der zugehörigen Ressourcen beim Erstellen von Google Cloud Projekten. Das Standardnetzwerk ist ein VPC-Netzwerk (Virtual Private Cloud) im automatischen Modus mit vorkonfigurierten IPv4-Firewallregeln, um interne Kommunikationspfade zuzulassen. Im Allgemeinen ist diese Einrichtung keine empfohlene Sicherheitskonfiguration für Produktionsumgebungen.
Weitere Informationen	Einschränkungen für Organisationsrichtlinien
Artikel-ID	MVSP-CO-1-47
Zuordnung	Zugehörige NIST-800-53-Kontrollen: SC-7 SC-8 Zugehörige CRI-Profilsteuerungen: PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4 Compliance Manager-Kontrolle: Erstellung von Standardnetzwerken für Compute Engine-Instanzen einschränken

Element	Privaten Google-Zugriff aktivieren
Beschreibung	Aktivieren Sie den privaten Google-Zugriff für alle Subnetze. Wenn Sie den privaten Google-Zugriff aktivieren, können Dienste auf Google Cloud Dienste ohne externe IP-Adressen zugreifen. Der privater Google-Zugriff ist standardmäßig nicht für neue Ressourcen aktiviert und muss explizit aktiviert werden.
Weitere Informationen	Privaten Google-Zugriff konfigurieren
Artikel-ID	MVSP-CO-1.52
Zuordnung	Zugehörige NIST-800-53-Kontrollen: SC-7 Zugehörige CRI-Profilsteuerungen: PR.AC-3.1 Compliance Manager-Kontrolle: Privaten Google-Zugriff für eine Instanz aktivieren

Nachdem Sie die grundlegenden Richtlinien implementiert haben, implementieren Sie die folgenden Richtlinien zur Netzwerksicherheit.

Element	Cloud Armor-Richtlinien verwenden
Beschreibung	Verwenden Sie für Anwendungen, die hinter Cloud Load Balancing bereitgestellt werden, Google Cloud Armor-Standardrichtlinien oder konfigurieren Sie eigene Richtlinien, um den Netzwerkschutz von Layer 3 bis Layer 7 für externe Anwendungen oder Dienste hinzuzufügen. Cloud Armor-Sicherheitsrichtlinien schützen Ihre Anwendung durch Layer 7-Filterung. Diese Richtlinien prüfen auch eingehende Anfragen auf häufige Webangriffe oder andere Layer 7-Attribute, um Traffic zu blockieren, bevor er Ihre Back-End-Dienste mit Load-Balancing oder Ihre Back-End-Buckets erreicht. Jede Sicherheitsrichtlinie besteht aus einer Reihe von Regeln, die Attribute von Layer 3 bis Layer 7 enthalten.
Weitere Informationen	Cloud Armor – Produktübersicht
Artikel-ID	MVSP-CO-1.49
Zuordnung	Zugehörige NIST-800-53-Kontrollen: SC-7 Zugehörige CRI-Profilsteuerungen: PR.AC-3.1 Compliance Manager-Kontrolle: Sicherheitsrichtlinie zur Eindämmung von DDoS-Ereignissen definieren

Element	Ausgehenden Traffic beschränken
Beschreibung	Beschränken Sie den Zugriff auf externe Quellen, da standardmäßig der gesamte Zugriff nach außen zulässig ist. Legen Sie bestimmte Firewallregeln für beabsichtigte Muster von ausgehendem Traffic fest. Standardmäßig dürfen Systeme oft ausgehende Verbindungen zum Internet herstellen, was als Sicherheitsrisiko angesehen werden kann. Eine Standardablehnungsrichtlinie blockiert ausgehenden Traffic und erfordert, dass spezifische Regeln nur für die bekannten, erforderlichen Ziele erstellt werden.
Weitere Informationen	VPC-Firewallregeln
Artikel-ID	MVSP-CO-1.50
Zuordnung	Zugehörige NIST-800-53-Kontrollen: SC-7 Zugehörige CRI-Profilsteuerungen: PR.AC-3.1 Compliance Manager-Kontrolle: Firewallregel „Alle ausgehenden Verbindungen ablehnen“ erzwingen

Element	Eingehenden Zugriff auf SSH- und RDP-Ports einschränken
Beschreibung	Beschränken Sie den eingehenden Zugriff nach Möglichkeit nur auf bestimmte Ressourcen und Ressourcenbereiche. Wenn Identity-Aware Proxy (IAP) konfiguriert ist, legen Sie für eingehende SSH- und RDP-Firewallregeln (Remote Desktop Protocol) IAP-IP-Bereiche als Quellen fest. Durchlässige SSH- und RDP-Firewallregeln ermöglichen Brute-Force-Angriffe. Verwenden Sie stattdessen Google Cloud Identity-Aware Proxys (z. B. IAP) für SSH und RDP.
Weitere Informationen	IAP für die TCP-Weiterleitung verwenden
Artikel-ID	MVSP-CO-1.51
Zuordnung	Zugehörige NIST-800-53-Kontrollen: SC-7 Zugehörige CRI-Profilsteuerungen: PR.AC-3.1 Compliance Manager-Kontrolle: Zugriff auf SSH-Port blockieren Zugriff auf RDP-Port blockieren

Nachdem Sie die Zwischenrichtlinien implementiert haben, implementieren Sie die folgenden Richtlinien zur Netzwerksicherheit.

Element	VPC Service Controls aktivieren
Beschreibung	Aktivieren Sie VPC Service Controls als zusätzliche Schutzebene, um potenziellen Datenverlust zu verhindern. Mit VPC Service Controls können Sie Daten-Exfiltration verhindern, indem Sie Isolationsperimeter für Ihre Cloud-Ressourcen, sensiblen Daten und Netzwerke erstellen.
Weitere Informationen	VPC Service Controls Unterstützte Produkte und Einschränkungen
Artikel-ID	MVSP-CO-1.48
Zuordnung	Zugehörige NIST-800-53-Kontrollen: SC-7 SC-8 Zugehörige CRI-Profilsteuerungen: PR.AC-3.1 Compliance Manager-Kontrolle: Dienstperimeter in VPC Service Controls definieren