Consignes de sécurité du réseau

Les consignes suivantes concernant la plate-forme de sécurité minimale viable sont conformes au pilier de la sécurité du réseau.

Consignes de base

Commencez par appliquer les consignes de sécurité réseau suivantes.

Élément	Bloquer la création du réseau par défaut
Description	La contrainte booléenne `compute.skipDefaultNetworkCreation` ignore la création du réseau par défaut et des ressources associées lors de la création de projets Google Cloud . Le réseau par défaut est un réseau cloud privé virtuel (VPC) en mode automatique avec des règles de pare-feu IPv4 préremplies pour autoriser les chemins de communication internes. En général, cette configuration n'est pas recommandée pour les environnements de production en termes de sécurité.
Informations connexes	Contraintes liées aux règles d'administration
ID de l'élément	MVSP-CO-1-47
Mappage	Contrôles NIST-800-53 associés : SC-7 SC-8 Contrôles associés du profil CRI : PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4 Contrôle Compliance Manager : Restreindre la création de réseaux par défaut pour les instances Compute Engine

Élément	Activer l'accès privé à Google
Description	Activez l'accès privé à Google sur tous les sous-réseaux. L'activation de l'accès privé à Google permet aux services d'accéder aux services Google Cloud qui ne disposent pas d'adresses IP externes. Par défaut, l'accès privé à Google n'est pas activé sur les nouvelles ressources. Vous devez suivre des étapes supplémentaires pour l'activer explicitement.
Informations connexes	Configurer l'accès privé à Google
ID de l'élément	MVSP-CO-1.52
Mappage	Contrôles NIST-800-53 associés : SC-7 Contrôles associés du profil CRI : PR.AC-3.1 Contrôle Compliance Manager : Activer l'accès privé à Google sur une instance

Après avoir mis en œuvre les consignes de base, appliquez les consignes de sécurité réseau suivantes.

Élément	Utiliser les règles Cloud Armor
Description	Pour les applications exposées derrière Cloud Load Balancing, utilisez les règles par défaut de Google Cloud Armor ou configurez vos propres règles pour ajouter une protection réseau de couche 3 à 7 pour les applications ou services externes. Les règles de sécurité Cloud Armor protègent votre application en fournissant un filtrage de couche 7. Ces règles examinent également les requêtes entrantes pour les attaques Web courantes ou d'autres attributs de couche 7 afin de bloquer potentiellement le trafic avant qu'il n'atteigne vos services de backend à équilibrage de charge ou vos buckets de backend. Chaque stratégie de sécurité est composée d'un ensemble de règles qui incluent des attributs des couches 3 à 7.
Informations connexes	Présentation de Cloud Armor
ID de l'élément	MVSP-CO-1.49
Mappage	Contrôles NIST-800-53 associés : SC-7 Contrôles associés du profil CRI : PR.AC-3.1 Contrôle Compliance Manager : Définir une stratégie de sécurité pour atténuer les événements DDoS

Élément	Limiter le trafic sortant
Description	Limitez l'accès aux sources externes, car par défaut, tous les accès sortants sont autorisés. Définissez des règles de pare-feu spécifiques pour les schémas de trafic sortant prévus. Par défaut, les systèmes sont souvent autorisés à établir des connexions sortantes à Internet, ce qui peut être considéré comme un risque pour la sécurité. Une règle de refus par défaut bloque le trafic sortant et nécessite la création de règles spécifiques pour les destinations connues et nécessaires uniquement.
Informations connexes	Règles de pare-feu VPC
ID de l'élément	MVSP-CO-1.50
Mappage	Contrôles NIST-800-53 associés : SC-7 Contrôles associés du profil CRI : PR.AC-3.1 Contrôle Compliance Manager : Appliquer la règle de pare-feu de sortie "Tout refuser"

Élément	Limiter l'accès entrant aux ports SSH et RDP
Description	Dans la mesure du possible, limitez l'accès entrant à des ressources et des plages de ressources spécifiques uniquement. Si Identity-Aware Proxy (IAP) est configuré, définissez les règles de pare-feu SSH et RDP (Remote Desktop Protocol) entrants sur les plages d'adresses IP IAP en tant que sources. Les règles de pare-feu SSH et RDP permissives permettent les attaques par force brute. Utilisez plutôt des proxys compatibles avec l'identité (comme IAP) pour SSH et RDP. Google Cloud
Informations connexes	Utiliser IAP pour le transfert TCP
ID de l'élément	MVSP-CO-1.51
Mappage	Contrôles NIST-800-53 associés : SC-7 Contrôles associés du profil CRI : PR.AC-3.1 Contrôle Compliance Manager : Bloquer l'accès au port SSH Bloquer l'accès au port RDP

Après avoir mis en œuvre les consignes intermédiaires, appliquez les consignes de sécurité réseau suivantes.

Élément	Activer VPC Service Controls
Description	Activez VPC Service Controls pour ajouter une couche de protection supplémentaire et éviter toute perte de données potentielle. VPC Service Controls peut vous aider à empêcher l'exfiltration de données en créant des périmètres d'isolation autour de vos ressources cloud, de vos données sensibles et de vos réseaux.
Informations connexes	Présentation de VPC Service Controls Produits compatibles et limites
ID de l'élément	MVSP-CO-1.48
Mappage	Contrôles NIST-800-53 associés : SC-7 SC-8 Commandes associées du profil CRI : PR.AC-3.1 Contrôle Compliance Manager : Définir des périmètres de service dans VPC Service Controls