הנחיות לאבטחת רשת

ההנחיות הבאות לגבי פלטפורמת אבטחה מינימלית תואמות לעקרונות של אבטחת רשת.

הנחיות לרמה בסיסית

קודם כול, מטמיעים את ההנחיות הבאות לאבטחת רשתות.

פריט	חסימה של ברירת המחדל ליצירת רשתות
תיאור	האילוץ הבוליאני `compute.skipDefaultNetworkCreation` מדלג על יצירת רשת ברירת המחדל ומשאבים קשורים כשיוצרים פרויקטים של Google Cloud . רשת ברירת המחדל היא רשת ענן וירטואלי פרטי (VPC) במצב אוטומטי עם כללי חומת אש IPv4 שאוכלסו מראש כדי לאפשר נתיבי תקשורת פנימיים. באופן כללי, ההגדרה הזו לא מומלצת מבחינת אבטחה בסביבות ייצור.
מידע קשור	מגבלות שקשורות למדיניות הארגון
מזהה פריט	MVSP-CO-1-47
מיפוי	אמצעי בקרה קשורים בתקן NIST-800-53: SC-7 SC-8 אמצעי בקרה קשורים בפרופיל CRI: PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4 אמצעי בקרה ב-Compliance Manager: הגבלת יצירת רשת ברירת מחדל למכונות של Compute Engine

פריט	הפעלת גישה פרטית ל-Google
תיאור	מפעילים גישה פרטית ל-Google בכל רשתות המשנה. הפעלת גישה פרטית ל-Google מאפשרת לשירותים לגשת Google Cloud לשירותים שאין להם כתובות IP חיצוניות. כברירת מחדל, האפשרות 'גישה פרטית ל-Google' לא מופעלת במשאבים חדשים, ונדרשים שלבים נוספים כדי להפעיל אותה באופן מפורש.
מידע קשור	הגדרת גישה פרטית ל-Google
מזהה פריט	MVSP-CO-1.52
מיפוי	אמצעי בקרה קשורים בתקן NIST-800-53: SC-7 אמצעי בקרה קשורים בפרופיל CRI: PR.AC-3.1 אמצעי בקרה ב-Compliance Manager: הפעלת גישה פרטית ל-Google במופע

אחרי שמטמיעים את ההנחיות הבסיסיות, מטמיעים את ההנחיות הבאות לאבטחת הרשת.

פריט	שימוש במדיניות Cloud Armor
תיאור	באפליקציות שחשופות מאחורי Cloud Load Balancing, אפשר להשתמש במדיניות ברירת המחדל של Google Cloud Armor או להגדיר מדיניות משלכם כדי להוסיף הגנה על רשתות ברמה 3 עד רמה 7 לאפליקציות או לשירותים שפונים כלפי חוץ. כללי מדיניות האבטחה של Cloud Armor עוזרים להגן על האפליקציה באמצעות סינון בשכבה 7. בנוסף, המדיניות הזו בודקת בקשות נכנסות למתקפות נפוצות באינטרנט או למאפיינים אחרים בשכבה 7, כדי לחסום תנועה לפני שהיא מגיעה לשירותי הקצה העורפי או לקטגוריות הקצה העורפי עם איזון עומסים. כל מדיניות אבטחה מורכבת מקבוצה של כללים שכוללים מאפיינים משכבה 3 עד שכבה 7.
מידע קשור	סקירה כללית על Cloud Armor
מזהה פריט	MVSP-CO-1.49
מיפוי	אמצעי בקרה קשורים בתקן NIST-800-53: SC-7 אמצעי בקרה קשורים בפרופיל CRI: PR.AC-3.1 אמצעי בקרה ב-Compliance Manager: הגדרת מדיניות אבטחה לצורך צמצום הסיכון לאירועי DDoS

פריט	הגבלת תנועה יוצאת
תיאור	הגבלת הגישה למקורות חיצוניים, כי כברירת מחדל, כל הגישה מותרת החוצה. הגדרת כללי חומת אש ספציפיים לדפוסי תעבורה שצריכים לצאת. כברירת מחדל, למערכות יש לרוב הרשאה ליצור חיבורים יוצאים לאינטרנט, וזה עלול להיחשב כסיכון אבטחה. מדיניות ברירת מחדל של דחייה חוסמת תנועה יוצאת ומחייבת יצירת כללים ספציפיים רק ליעדים הידועים והנדרשים.
מידע קשור	כללי חומת אש ב-VPC
מזהה פריט	MVSP-CO-1.50
מיפוי	אמצעי בקרה קשורים בתקן NIST-800-53: SC-7 אמצעי בקרה קשורים בפרופיל CRI: PR.AC-3.1 אמצעי בקרה ב-Compliance Manager: אכיפת כלל חומת אש לדחיית כל תעבורת הנתונים היוצאת (egress)

פריט	הגבלת גישה נכנסת ליציאות SSH ו-RDP
תיאור	במידת האפשר, מגבילים את הגישה הנכנסת רק למשאבים ספציפיים ולטווחים של משאבים. אם מוגדר שרת proxy לאימות זהויות (IAP), צריך להגדיר את כללי חומת האש של SSH נכנס ופרוטוקול שולחן עבודה מרוחק (RDP) לטווח כתובות ה-IP של IAP כמקורות. כללי חומת אש מתירניים מדי של SSH ו-RDP מאפשרים מתקפות כוח ברוטלי. במקום זאת, כדאי להשתמש בשרתי Proxy לאימות זהויות (כמו IAP) עבור SSH ו-RDP. Google Cloud
מידע קשור	שימוש ב-IAP להעברת TCP
מזהה פריט	MVSP-CO-1.51
מיפוי	אמצעי בקרה קשורים בתקן NIST-800-53: SC-7 אמצעי בקרה קשורים בפרופיל CRI: PR.AC-3.1 אמצעי בקרה ב-Compliance Manager: חסימת הגישה ליציאת SSH חסימת הגישה ליציאת RDP

אחרי שמטמיעים את ההנחיות הביניים, מטמיעים את ההנחיות הבאות לאבטחת רשת.

פריט	הפעלת VPC Service Controls
תיאור	כדאי להפעיל את VPC Service Controls כשכבת הגנה נוספת כדי למנוע אובדן נתונים פוטנציאלי. בעזרת VPC Service Controls אפשר ליצור גבולות גזרה מסביב למשאבים בענן, למידע אישי רגיש ולרשתות, וכך למנוע זליגת נתונים.
מידע קשור	סקירה כללית על VPC Service Controls מוצרים נתמכים ומגבלות
מזהה פריט	MVSP-CO-1.48
מיפוי	אמצעי בקרה קשורים בתקן NIST-800-53: SC-7 SC-8 אמצעי בקרה קשורים בפרופיל CRI: PR.AC-3.1 אמצעי בקרה ב-Compliance Manager: הגדרת היקפי שירות ב-VPC Service Controls