Diretrizes de segurança de rede

As diretrizes a seguir para a plataforma de segurança mínima viável estão alinhadas ao pilar de segurança de rede.

Diretrizes do nível básico

Primeiro, implemente as seguintes diretrizes de segurança de rede.

Item	Bloquear a criação de rede padrão
Descrição	A restrição booleana `compute.skipDefaultNetworkCreation` pula a criação da rede padrão e dos recursos relacionados ao criar projetos Google Cloud . A rede padrão é uma rede de nuvem privada virtual (VPC) de modo automático com regras de firewall IPv4 já preenchidas para permitir caminhos de comunicação internos. Em geral, essa configuração não é uma postura de segurança recomendada para ambientes de produção.
Informações relacionadas	Restrições das políticas da organização
Código do item	MVSP-CO-1-47
Mapeamento	Controles relacionados do NIST-800-53: SC-7 SC-8 Controles relacionados ao perfil da CRI: PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4 Controle do Compliance Manager: Restringir a criação de rede padrão para instâncias do Compute Engine

Item	Ativar o Acesso privado do Google
Descrição	Ative o Acesso privado do Google em todas as sub-redes. Ao ativar o Acesso privado do Google, os serviços podem acessar serviços do Google Cloud que não têm endereços IP externo. Por padrão, o Acesso privado do Google não está ativado em novos recursos e exige etapas adicionais para ser ativado explicitamente.
Informações relacionadas	Configurar Acesso privado do Google
Código do item	MVSP-CO-1.52
Mapeamento	Controles relacionados do NIST-800-53: SC-7 Controles relacionados ao perfil da CRI: PR.AC-3.1 Controle do Compliance Manager: Ativar o Acesso privado do Google em uma instância

Depois de implementar as diretrizes básicas, implemente as seguintes diretrizes de segurança de rede.

Item	Usar políticas do Cloud Armor
Descrição	Para aplicativos expostos por trás do Cloud Load Balancing, use as políticas padrão do Google Cloud Armor ou configure suas próprias políticas para adicionar proteção de rede da camada 3 à camada 7 para aplicativos ou serviços externos. As políticas de segurança do Cloud Armor ajudam a proteger seu aplicativo fornecendo filtragem da camada 7. Essas políticas também analisam solicitações recebidas para ataques comuns da Web ou outros atributos da Camada 7 para bloquear o tráfego antes que ele alcance os serviços ou buckets de back-end com carga balanceada. Cada política de segurança consiste em um conjunto de regras que incluem atributos da camada 3 à camada 7.
Informações relacionadas	Visão geral do Cloud Armor
Código do item	MVSP-CO-1.49
Mapeamento	Controles relacionados do NIST-800-53: SC-7 Controles relacionados ao perfil da CRI: PR.AC-3.1 Controle do Compliance Manager: Definir uma política de segurança para reduzir eventos de DDoS

Item	Restringir o tráfego de saída
Descrição	Limite o acesso a fontes externas porque, por padrão, todo o acesso é permitido. Defina regras de firewall específicas para padrões de tráfego de saída pretendidos. Por padrão, os sistemas geralmente podem fazer conexões de saída com a Internet, o que pode ser considerado um risco de segurança. Uma política de negação por padrão bloqueia o tráfego de saída e exige a criação de regras específicas apenas para os destinos conhecidos e necessários.
Informações relacionadas	Regras de firewall da VPC
Código do item	MVSP-CO-1.50
Mapeamento	Controles relacionados do NIST-800-53: SC-7 Controles relacionados ao perfil da CRI: PR.AC-3.1 Controle do Compliance Manager: Aplicar regra de firewall de saída "Negar tudo"

Item	Limitar o acesso de entrada às portas SSH e RDP
Descrição	Sempre que possível, restrinja o acesso de entrada apenas a recursos e intervalos de recursos específicos. Se o Identity-Aware Proxy (IAP) estiver configurado, defina as regras de firewall de entrada do SSH e do Remote Desktop Protocol (RDP) como intervalos de IP do IAP como fontes. Regras de firewall permissivas de SSH e RDP permitem ataques de força bruta. Em vez disso, use proxies compatíveis com identidade Google Cloud (como o IAP) para SSH e RDP.
Informações relacionadas	Como usar o IAP para encaminhamento de TCP
Código do item	MVSP-CO-1.51
Mapeamento	Controles relacionados do NIST-800-53: SC-7 Controles relacionados ao perfil da CRI: PR.AC-3.1 Controle do Compliance Manager: Bloquear o acesso à porta SSH Bloquear o acesso à porta RDP

Depois de implementar as diretrizes intermediárias, implemente as seguintes diretrizes de segurança de rede.

Item	Ativar o VPC Service Controls
Descrição	Ative o VPC Service Controls como uma camada extra de proteção para evitar a perda de dados. O VPC Service Controls ajuda a evitar a exfiltração de dados criando perímetros de isolamento em torno dos recursos da nuvem, dos dados sensíveis e das redes.
Informações relacionadas	Visão geral do VPC Service Controls Produtos e limitações compatíveis
Código do item	MVSP-CO-1.48
Mapeamento	Controles relacionados do NIST-800-53: SC-7 SC-8 Controles relacionados ao perfil da CRI: PR.AC-3.1 Controle do Compliance Manager: Definir perímetros de serviço no VPC Service Controls