以下最低可行安全平台指南符合網路安全支柱。
基本等級規範
請先實作下列網路安全規範。
| 項目 | 封鎖預設網路的建立作業 |
|---|---|
| 說明 | 建立專案時, 預設網路為自動模式虛擬私有雲 (VPC) 網路,具有預先填入的 IPv4 防火牆規則,可允許內部通訊路徑。一般來說,這種設定不建議用於正式環境,因為安全性不佳。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1-47 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
Compliance Manager 控制項: |
| 項目 | 啟用 Private Google Access |
|---|---|
| 說明 | 在所有子網路啟用 Private Google Access。 啟用私人 Google 存取權後,服務就能存取 Google Cloud 沒有外部 IP 位址的服務。根據預設,系統不會在新資源上啟用私人 Google 存取權,您必須採取額外步驟明確啟用這項功能。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.52 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
Compliance Manager 控制項: |
中階指南
實作基本規範後,請實作下列網路安全規範。
| 項目 | 使用 Cloud Armor 政策 |
|---|---|
| 說明 | 對於透過 Cloud Load Balancing 公開的應用程式,請使用 Google Cloud Armor 預設政策或自行設定政策,為對外應用程式或服務新增第 3 層至第 7 層的網路保護。Cloud Armor 安全性政策提供第 7 層篩選功能,有助於保護應用程式。這些政策也會檢查傳入要求是否有常見的網路攻擊或其他第 7 層屬性,以便在流量抵達負載平衡後端服務或後端值區之前,封鎖流量。每項安全政策都包含一組規則,這些規則包含第 3 層到第 7 層的屬性。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.49 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
Compliance Manager 控制項: |
| 項目 | 限制傳出流量 |
|---|---|
| 說明 | 限制外部來源的存取權,因為系統預設允許所有連出存取權。為需要輸出的預期流量模式設定特定防火牆規則。 根據預設,系統通常可以建立網際網路的傳出連線,這可能被視為安全風險。預設拒絕政策會封鎖輸出流量,且必須為已知必要目的地建立特定規則。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.50 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
Compliance Manager 控制項: |
| 項目 | 限制對 SSH 和 RDP 連接埠的連入存取權 |
|---|---|
| 說明 | 盡可能只限制特定資源和資源範圍的連入存取權。如果已設定 Identity-Aware Proxy (IAP),請將輸入 SSH 和遠端桌面協定 (RDP) 防火牆規則的來源設為 IAP IP 範圍。 寬鬆的 SSH 和 RDP 防火牆規則會允許暴力攻擊。請改用 Google Cloud 具備身分識別功能的 Proxy (例如 IAP) 進行 SSH 和 RDP。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.51 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
Compliance Manager 控制項: |
進階等級規範
實作中階規範後,請實作下列網路安全規範。
| 項目 | 啟用 VPC Service Controls |
|---|---|
| 說明 | 啟用 VPC Service Controls,做為額外防護層,防止資料遺失。 VPC Service Controls 可為雲端資源、機密資料和網路建立隔離 perimeter,防範資料竊取行為。 |
| 相關資訊 | |
| 項目 ID | MVSP-CO-1.48 |
| 對應 |
相關的 NIST-800-53 控制項:
相關的 CRI 設定檔控制項:
Compliance Manager 控制項: |