Linee guida per la sicurezza di rete

Le seguenti linee guida per la piattaforma di sicurezza minima praticabile sono in linea con il pilastro della sicurezza di rete.

Linee guida per il livello base

Implementa prima le seguenti linee guida per la sicurezza della rete.

Elemento	Bloccare la creazione della rete predefinita
Descrizione	Il vincolo booleano `compute.skipDefaultNetworkCreation` ignora la creazione della rete predefinita e delle risorse correlate durante la creazione dei progetti Google Cloud . La rete predefinita è una rete Virtual Private Cloud (VPC) in modalità automatica con regole firewall IPv4 precompilate per consentire i percorsi di comunicazione interni. In genere, questa configurazione non è una postura di sicurezza consigliata per gli ambienti di produzione.
Informazioni correlate	Vincoli delle policy dell'organizzazione
ID elemento	MVSP-CO-1-47
Mappatura	Controlli NIST-800-53 correlati: SC-7 SC-8 Controlli del profilo CRI correlati: PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4 Controllo di Compliance Manager: Limitare la creazione di reti predefinite per le istanze Compute Engine

Elemento	Abilita l'accesso privato Google
Descrizione	Abilita l'accesso privato Google su tutte le subnet. L'attivazione dell'accesso privato Google consente ai servizi di accedere ai servizi che non hanno indirizzi IP esterni. Google Cloud Per impostazione predefinita, l'accesso privato Google non è abilitato sulle nuove risorse e richiede passaggi aggiuntivi per abilitarlo esplicitamente.
Informazioni correlate	Configurare l'accesso privato Google
ID elemento	MVSP-CO-1.52
Mappatura	Controlli NIST-800-53 correlati: SC-7 Controlli del profilo CRI correlati: PR.AC-3.1 Controllo di Compliance Manager: Abilitare l'accesso privato Google su un'istanza

Dopo aver implementato le linee guida di base, implementa le seguenti linee guida per la sicurezza di rete.

Elemento	Utilizzare le policy di Cloud Armor
Descrizione	Per le applicazioni esposte dietro Cloud Load Balancing, utilizza le policy predefinite di Google Cloud Armor o configura le tue policy per aggiungere la protezione di rete di livello 3-7 per applicazioni o servizi esposti esternamente. Le policy di sicurezza di Cloud Armor contribuiscono a proteggere la tua applicazione fornendo filtri di livello 7. Queste policy esaminano anche le richieste in entrata per rilevare attacchi web comuni o altri attributi di livello 7 per bloccare potenzialmente il traffico prima che raggiunga i servizi di backend o i bucket di backend con bilanciamento del carico. Ogni policy di sicurezza è costituita da un insieme di regole che includono attributi dal livello 3 al livello 7.
Informazioni correlate	Panoramica di Cloud Armor
ID elemento	MVSP-CO-1.49
Mappatura	Controlli NIST-800-53 correlati: SC-7 Controlli del profilo CRI correlati: PR.AC-3.1 Controllo di Compliance Manager: Definisci una policy di sicurezza per mitigare gli eventi DDoS

Elemento	Limitare il traffico in uscita
Descrizione	Limita l'accesso a fonti esterne perché, per impostazione predefinita, è consentito tutto l'accesso in uscita. Imposta regole firewall specifiche per i pattern di traffico previsti che devono uscire. Per impostazione predefinita, spesso i sistemi sono autorizzati a effettuare connessioni in uscita a internet, il che può essere considerato un rischio per la sicurezza. Un criterio di negazione predefinita blocca il traffico in uscita e richiede la creazione di regole specifiche solo per le destinazioni note e necessarie.
Informazioni correlate	Regole firewall VPC
ID elemento	MVSP-CO-1.50
Mappatura	Controlli NIST-800-53 correlati: SC-7 Controlli del profilo CRI correlati: PR.AC-3.1 Controllo di Compliance Manager: Applica regola firewall in uscita per negare tutto il traffico

Elemento	Limita l'accesso in entrata alle porte SSH e RDP
Descrizione	Ove possibile, limita l'accesso in entrata solo a risorse e intervalli di risorse specifici. Se Identity-Aware Proxy (IAP) è configurato, imposta le regole firewall SSH e Remote Desktop Protocol (RDP) in entrata sugli intervalli IP IAP come origini. Le regole firewall SSH e RDP permissive consentono attacchi di tipo brute force. Utilizza invece Google Cloud proxy Identity-Aware (come IAP) per SSH e RDP.
Informazioni correlate	Utilizzo di IAP per inoltro TCP
ID elemento	MVSP-CO-1.51
Mappatura	Controlli NIST-800-53 correlati: SC-7 Controlli del profilo CRI correlati: PR.AC-3.1 Controllo di Compliance Manager: Bloccare l'accesso alla porta SSH Bloccare l'accesso alla porta RDP

Dopo aver implementato le linee guida intermedie, implementa le seguenti linee guida per la sicurezza di rete.

Elemento	Abilitare i Controlli di servizio VPC
Descrizione	Attiva i Controlli di servizio VPC come livello di protezione aggiuntivo per evitare la potenziale perdita di dati. I Controlli di servizio VPC possono contribuire a impedire l'esfiltrazione di dati creando perimetri di isolamento attorno alle risorse cloud, ai dati sensibili e alle reti.
Informazioni correlate	Panoramica dei Controlli di servizio VPC Prodotti supportati e limitazioni
ID elemento	MVSP-CO-1.48
Mappatura	Controlli NIST-800-53 correlati: SC-7 SC-8 Controlli del profilo CRI correlati: PR.AC-3.1 Controllo di Compliance Manager: Definisci i perimetri di servizio nei Controlli di servizio VPC