以下有关最低可行安全平台的准则符合网络安全支柱。
基本级准则
请先实施以下网络安全准则。
| 项 | 禁止创建默认网络 |
|---|---|
| 说明 |
默认网络是一个自动模式虚拟私有云 (VPC) 网络,其中预先填充了 IPv4 防火墙规则,以允许内部通信路径。一般来说,此设置不建议用于生产环境。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1-47 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |
| 项 | 启用专用 Google 访问通道 |
|---|---|
| 说明 | 在所有子网上启用专用 Google 访问通道。 启用专用 Google 访问通道后,服务可以访问没有外部 IP 地址的 Google Cloud 服务。默认情况下,专用 Google 访问通道未在新资源上启用,需要执行额外的步骤才能明确启用该权限。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.52 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |
中级指南
在实施基本准则后,请实施以下网络安全准则。
| 项 | 使用 Cloud Armor 政策 |
|---|---|
| 说明 | 对于在 Cloud Load Balancing 后面公开的应用,请使用 Google Cloud Armor 默认政策或配置您自己的政策,为面向外部的应用或服务添加第 3 层至第 7 层网络保护。Cloud Armor 安全政策可通过提供第 7 层过滤来帮助保护您的应用。这些政策还会检查传入的请求是否存在常见的 Web 攻击或其他第 7 层属性,以防止相应流量到达负载均衡后端服务或后端存储分区。每个安全政策由一组规则组成,这些规则包含第 3 层到第 7 层的属性。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.49 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |
| 项 | 限制出站流量 |
|---|---|
| 说明 | 限制对外部来源的访问,因为默认情况下,系统允许所有出站访问。为需要出站的预期流量模式设置特定的防火墙规则。 默认情况下,系统通常可以建立与互联网的出站连接,这可能会被视为安全风险。默认拒绝政策会阻止出站流量,并且需要创建特定规则,以仅允许已知且必要的目的地。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.50 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |
| 项 | 限制对 SSH 和 RDP 端口的入站访问 |
|---|---|
| 说明 | 尽可能将入站访问权限限制为仅限特定资源和资源范围。如果已配置 Identity-Aware Proxy (IAP),请将入站 SSH 和远程桌面协议 (RDP) 防火墙规则的来源设置为 IAP IP 范围。 宽松的 SSH 和 RDP 防火墙规则可能会导致暴力攻击。请改为使用 Google Cloud SSH 和 RDP 的 Identity-Aware Proxy(例如 IAP)。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.51 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |
高级别指南
实施中级准则后,请实施以下网络安全准则。
| 项 | 启用 VPC Service Controls |
|---|---|
| 说明 | 启用 VPC Service Controls 作为额外的保护层,以防止潜在的数据丢失。 VPC Service Controls 可为您的云资源、敏感数据和网络创建隔离边界,以帮助防止数据渗漏。 |
| 相关信息 | |
| 内容 ID | MVSP-CO-1.48 |
| 映射 |
相关 NIST-800-53 控制措施:
相关 CRI 配置文件控制措施:
Compliance Manager 控制措施: |