Ce document inclut les bonnes pratiques et les consignes pour les services Google Cloudtels que Compute Engine, Google Kubernetes Engine (GKE), Pub/Sub, Dataflow et les fonctions Cloud Run lorsque vous exécutez des charges de travail surGoogle Cloud.
Commandes de calcul
Ces contrôles s'appliquent aux services de calcul.
Définir les instances de VM pouvant activer le transfert IP
| ID de contrôle Google | VPC-CO-6.3 |
|---|---|
| Implémentation | Obligatoire |
| Description | La contrainte
compute.vmCanIpForward définit les instances de VM pouvant activer le transfert IP. Par défaut, toutes les VM peuvent activer le transfert IP sur n'importe quel réseau virtuel. Spécifiez les instances de VM en utilisant l'un des formats suivants :
|
| Produits applicables |
|
| Chemin d'accès | constraints/compute.vmCanIpForward |
| Opérateur | = |
| Valeur |
|
| Type | Liste |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Désactiver la virtualisation imbriquée des VM
| ID de contrôle Google | VPC-CO-6.6 |
|---|---|
| Implémentation | Obligatoire |
| Description | La contrainte booléenne
compute.disableNestedVirtualization désactive la virtualisation imbriquée à accélération matérielle pour les VM Compute Engine. |
| Produits applicables |
|
| Chemin d'accès | constraints/compute.disableNestedVirtualization |
| Opérateur | Est |
| Valeur |
|
| Type | Booléen |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Limiter les adresses IP externes sur les VM
| ID de contrôle Google | VPC-CO-6.2 |
|---|---|
| Implémentation | Obligatoire |
| Description | Sauf si cela est nécessaire, empêchez la création d'instances Compute Engine avec des adresses IP publiques. La contrainte de liste Empêchez les instances Compute Engine d'avoir des adresses IP externes pour réduire considérablement leur exposition à Internet. Toute instance dotée d'une adresse IP externe est immédiatement détectable et devient une cible directe pour les analyses automatisées, les attaques par force brute et les tentatives d'exploitation des failles. À la place, exigez des instances qu'elles utilisent des adresses IP privées et gérez l'accès via des chemins contrôlés, authentifiés et enregistrés, comme le tunnel Identity-Aware Proxy (IAP) ou un hôte bastion. L'adoption de cette posture de refus par défaut est une bonne pratique de sécurité fondamentale qui permet de réduire votre surface d'attaque et d'appliquer une approche zéro confiance à votre réseau. Cette contrainte n'est pas rétroactive. |
| Produits applicables |
|
| Chemin d'accès | constraints/compute.vmExternalIpAccess |
| Opérateur | = |
| Valeur |
|
| Type | Liste |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Définir les adresses IP externes autorisées pour les instances de VM
| ID de contrôle Google | CBD-CO-6.3 |
|---|---|
| Implémentation | Obligatoire |
| Description | La contrainte de liste |
| Produits applicables |
|
| Chemin d'accès | compute.vmExternalIpAccess |
| Opérateur | = |
| Valeur |
|
| Type | Liste |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Désactiver l'accès au port série des VM
| Implémentation | Obligatoire |
|---|---|
| Description | Désactivez l'accès au port série en définissant la contrainte de règle d'administration La désactivation de l'accès au port série permet d'appliquer une stratégie de sécurité en profondeur en forçant tout accès administratif à passer par des chemins d'accès standards et audités tels que SSH, que vous pouvez protéger en activant Identity and Access Management (IAM) et Identity-Aware Proxy (IAP). |
| Produits applicables |
Compute Engine |
| Chemin d'accès | constraints/compute.disableSerialPortAccess |
| Opérateur | = |
| Valeur |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Exiger un connecteur VPC pour les fonctions Cloud Run
| ID de contrôle Google | CF-CO-4.4 |
|---|---|
| Implémentation | Obligatoire |
| Description | La contrainte booléenne |
| Produits applicables |
|
| Chemin d'accès | constraints/cloudfunctions.requireVPCConnector |
| Opérateur | = |
| Valeur |
|
| Type | Booléen |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Activer les fonctionnalités de VM protégée
| Implémentation | Obligatoire |
|---|---|
| Description | Activez les attributs de module de plate-forme virtuelle sécurisée (vTPM) et de surveillance de l'intégrité de la VM protégée pour vos instances. Les attributs vTPM et de surveillance de l'intégrité font partie du processus de création d'instance de VM par défaut. Utilisez les attributs vTPM et de surveillance de l'intégrité des VM protégées pour vous assurer que vos VM ne démarrent qu'avec du code fiable et non modifié. Le vTPM fournit un cryptoprocesseur virtuel sécurisé qui génère et stocke des mesures cryptographiques de l'ensemble de la séquence de démarrage, du micrologiciel UEFI aux pilotes du noyau. La surveillance de l'intégrité compare ensuite en permanence ces mesures d'exécution à une référence connue établie lors de la création de la VM. Ces fonctionnalités fournissent une chaîne de confiance vérifiable et vous alertent automatiquement ou prennent des mesures si elles détectent des modifications malveillantes, comme celles d'un bootkit ou d'un rootkit. Les fonctionnalités des VM protégées permettent de préserver l'intégrité de votre charge de travail dès l'allumage de l'instance. |
| Produits applicables |
Compute Engine |
| Chemin d'accès | compute.instances/shieldedInstanceConfig.enableVtpm |
| Opérateur | Est |
| Valeur |
|
| Type | Booléen |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Appliquer OS Login pour les VM
| Implémentation | Obligatoire |
|---|---|
| Description | Si vous autorisez les développeurs à accéder aux ressources Compute Engine via SSH, configurez OS Login avec la validation en deux étapes. Utilisez OS Login pour gérer les clés SSH avec des stratégies Identity and Access Management (IAM) en définissant la contrainte de règle d'administration Il est essentiel d'associer les autorisations SSH à l'identité d'un utilisateur pour des raisons de sécurité. En effet, la suppression du rôle IAM d'un utilisateur révoque instantanément son accès à toutes les instances, ce qui protège contre les accès non autorisés à partir de comptes obsolètes. Le système simplifie la gestion des clés pour éviter leur prolifération et fournit une piste d'audit claire et centralisée pour tous les événements de connexion dans Cloud Audit Logs. OS Login vous permet également d'appliquer l'authentification à deux facteurs, ce qui ajoute une couche de protection essentielle contre le vol de clés et d'identifiants SSH. Un pirate informatique disposant de jetons OAuth compromis, mais d'aucun mot de passe ni clé de sécurité, va se retrouver bloqué par cette fonctionnalité. L'accès RDP (Remote Desktop Protocol) aux instances Windows sur Compute Engine n'est pas compatible avec le service OS Login. Par conséquent, la validation en deux étapes ne peut pas être appliquée de manière précise pour les sessions RDP. Lorsque vous utilisez des plug-ins RDP pour IAP Desktop ou Google Chrome, définissez des contrôles plus précis, tels que la durée de session pour les services Google et les paramètres de validation en deux étapes des sessions Web de l'utilisateur, et désactivez le paramètre Autoriser l'utilisateur à faire confiance à son appareil dans les paramètres de validation en deux étapes. |
| Produits applicables |
Compute Engine |
| Chemin d'accès | compute.projects/commonInstanceMetadata.items |
| Opérateur | Est |
| Valeur |
|
| Type | Booléen |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Configurer des règles de stockage des messages
| ID de contrôle Google | PS-CO-4.1 |
|---|---|
| Implémentation | Facultatif |
| Description | Si vous publiez des messages sur le point de terminaison Pub/Sub mondial, Pub/Sub les stocke automatiquement dans la région Google Cloud la plus proche. Pour contrôler les régions dans lesquelles vos messages sont stockés, configurez une règle de stockage des messages sur votre sujet.
Pour configurer des règles de stockage des messages pour les sujets, utilisez l'une des méthodes suivantes :
|
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Désactiver les adresses IP externes pour les jobs Dataflow
| ID de contrôle Google | DF-CO-6.1 |
|---|---|
| Implémentation | Facultatif |
| Description | Désactivez les adresses IP externes pour les tâches d'administration et de surveillance liées aux jobs Dataflow. Configurez plutôt l'accès à vos VM de nœud de calcul Dataflow à l'aide de SSH. Activez l'accès privé à Google et spécifiez l'une des options suivantes dans votre job Dataflow :
Où :
|
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utiliser des tags réseau pour les règles de pare-feu
| ID de contrôle Google | DF-CO-6.2 |
|---|---|
| Implémentation | Facultatif |
| Description | Les tags réseau sont des attributs textuels associés aux VM Compute Engine, telles que les VM de nœud de calcul Dataflow. Les tags réseau vous permettent d'appliquer des règles de pare-feu de réseau VPC et des routes statiques personnalisées à des instances de VM spécifiques. Dataflow permet d'ajouter des tags réseau à toutes les VM de nœud de calcul qui exécutent une tâche Dataflow particulière. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Contrôles des conteneurs
Ces contrôles s'appliquent aux conteneurs dans GKE.
Limiter l'accès au plan de contrôle
| ID de contrôle Google | GKE-CO-1.1 |
|---|---|
| Implémentation | Obligatoire |
| Description | Par défaut, le plan de contrôle et les nœuds des clusters Google Kubernetes Engine (GKE) disposent d'adresses Internet routables auxquelles il est possible d'accéder depuis n'importe quelle adresse IP. Restreignez l'accès réseau au plan de contrôle en utilisant un point de terminaison basé sur le DNS et en créant des clusters privés. Le plan de contrôle est le centre de gestion d'un cluster Kubernetes. L'exposer à Internet en fait une cible privilégiée pour les pirates informatiques. Cette configuration rend le plan de contrôle privé et le supprime d'Internet. Limiter l'accès au plan de contrôle permet de s'assurer que seuls les appareils vérifiés du réseau privé de votre organisation peuvent gérer le cluster, ce qui réduit considérablement le risque d'attaque externe. |
| Produits applicables |
GKE |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utiliser les règles de pare-feu selon le principe du moindre privilège
| ID de contrôle Google | GKE-CO-1.2 |
|---|---|
| Implémentation | Obligatoire |
| Description | Lorsque vous créez des règles de pare-feu, utilisez le principe du moindre privilège pour ne fournir un accès qu'à l'objectif requis. Si possible, assurez-vous que vos règles de pare-feu n'entrent pas en conflit avec les règles de pare-feu par défaut de GKE. |
| Produits applicables |
GKE |
| Contrôles NIST-800-53 associés |
|
| Informations connexes |
Utiliser Google Groupes pour RBAC
| ID de contrôle Google | GKE-CO-1.3 |
|---|---|
| Implémentation | Obligatoire |
| Description | Utilisez Google Groupes pour le contrôle des accès basé sur les rôles (RBAC), qui vous permet également d'intégrer vos pratiques de gestion des comptes utilisateur existantes, telles que la révocation d'accès lorsqu'un utilisateur quitte votre organisation. Google Groupes pour RBAC permet de gérer efficacement l'accès aux clusters à l'aide d'Identity and Access Management (IAM) et de Google Groupes. Cette fonctionnalité convient à la plupart des organisations qui utilisent Google Groupes. |
| Produits applicables |
Google Kubernetes Engine (GKE) |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Activer les nœuds GKE protégés
| ID de contrôle Google | GKE-CO-1.4 |
|---|---|
| Implémentation | Obligatoire |
| Description | Activez les nœuds GKE protégés pour la validation cryptographique des nœuds de votre cluster. Les nœuds GKE protégés fournissent une identité et une intégrité de nœud solides et vérifiables. Activez les nœuds GKE protégés lorsque vous créez ou mettez à jour des clusters. Dans la mesure du possible, utilisez des nœuds GKE protégés avec démarrage sécurisé pour authentifier également les composants de démarrage de vos VM de nœuds pendant le processus de démarrage. N'utilisez pas le démarrage sécurisé si vous avez besoin de modules de noyau non signés tiers. Les nœuds GKE protégés sont activés par défaut lorsque vous créez un cluster. |
| Produits applicables |
GKE |
| Contrôles NIST-800-53 associés |
|
| Informations connexes |
Utiliser Container-Optimized OS avec l'environnement d'exécution containerd
| ID de contrôle Google | GKE-CO-1.5 |
|---|---|
| Implémentation | Obligatoire |
| Description | Utilisez Container-Optimized OS pour implémenter un OS de conteneur renforcé et géré. Les systèmes d'exploitation à usage général incluent de nombreux programmes supplémentaires qui ne sont pas nécessaires à l'exécution des conteneurs et qui créent donc une cible plus grande et inutile pour les pirates informatiques. Container-Optimized OS est un système d'exploitation minimal et verrouillé qui réduit considérablement cette surface d'attaque en n'incluant que ce qui est nécessaire. En tant qu'OS géré, Container-Optimized OS dispose également de correctifs de sécurité qui sont automatiquement appliqués par Google. Cela permet de s'assurer que les failles critiques sont corrigées et de réduire votre charge de travail opérationnelle. Une image qui inclut Container-Optimized OS avec containerd (cos_containerd) a containerd comme environnement d'exécution principal des conteneurs, directement intégré à Kubernetes. containerd est le composant d'exécution principal de Docker et est conçu pour fournir des fonctionnalités de conteneur de base pour l'interface CRI (Container Runtime Interface) de Kubernetes. Il est beaucoup moins complexe que le daemon Docker complet et présente donc une surface d'attaque plus petite. |
| Produits applicables |
Container-Optimized OS |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utiliser Workload Identity Federation for GKE
| ID de contrôle Google | GKE-CO-1.6 |
|---|---|
| Implémentation | Obligatoire |
| Description | Utilisez Workload Identity Federation for GKE afin de vous authentifier de manière sécurisée auprès des API Google Cloud à partir des charges de travail Google Kubernetes Engine (GKE). Workload Identity Federation for GKE offre une alternative plus simple et plus sûre à l'utilisation de clés de compte de service. |
| Produits applicables |
GKE |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Activer GKE Sandbox
| ID de contrôle Google | GKE-CO-1.7 |
|---|---|
| Implémentation | Obligatoire |
| Description | Utilisez GKE Sandbox pour ajouter un niveau de sécurité supplémentaire et empêcher ainsi un code non approuvé d'affecter le noyau hôte sur les nœuds de votre cluster Google Kubernetes Engine (GKE). GKE Sandbox améliore l'isolation des charges de travail non approuvées ou sensibles, en offrant une couche de protection supplémentaire contre les attaques d'échappement de conteneur. |
| Produits applicables |
GKE |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Désactiver le port accessible en lecture seule du kubelet
| ID de contrôle Google | GKE-CO-1.9 |
|---|---|
| Implémentation | Obligatoire |
| Description | Désactivez le port 10255 en lecture seule du kubelet et utilisez le port 10250, plus sécurisé, à la place. Kubernetes n'effectue aucune vérification d'authentification ni d'autorisation sur ce port. Le kubelet diffuse les mêmes points de terminaison sur le port 10250, authentifié et plus sécurisé. Vous ne pouvez désactiver le port accessible en lecture seule et non sécurisé du kubelet que dans la version 1.26.4-gke.500 ou ultérieure de GKE. |
| Produits applicables |
GKE |
| Contrôles NIST-800-53 associés |
|
| Informations connexes |
Utiliser les espaces de noms et les autorisations RBAC pour limiter l'accès aux ressources du cluster
| ID de contrôle Google | GKE-CO-1.10 |
|---|---|
| Implémentation | Obligatoire |
| Description | Créez des espaces de noms ou des clusters distincts pour chaque équipe et chaque environnement afin d'implémenter le principe du moindre privilège pour Kubernetes. Affectez des centres de coûts et des libellés appropriés à chaque espace de noms pour renforcer la responsabilisation et permettre le rejet de débit. N'accordez aux développeurs que le niveau d'accès à l'espace de noms dont ils ont besoin pour déployer et gérer leur application, en particulier en production. Planifiez les tâches que vos utilisateurs doivent effectuer sur le cluster et définissez les autorisations dont ils ont besoin pour chaque tâche. Attribuez les rôles IAM (Identity and Access Management) appropriés pour Google Kubernetes Engine (GKE) aux groupes et aux utilisateurs afin de leur fournir des autorisations au niveau du projet et utilisez le contrôle d'accès RBAC pour accorder des autorisations au niveau d'un cluster et d'un espace de noms. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Informations connexes |
Limiter le trafic entre les pods
| ID de contrôle Google | GKE-CO-1.11 |
|---|---|
| Implémentation | Obligatoire |
| Description | Par défaut, tous les pods d'un cluster peuvent communiquer entre eux. Contrôlez la communication entre les pods en fonction de vos charges de travail. Lorsque vous limitez l'accès réseau aux services, il est beaucoup plus difficile pour les pirates informatiques de se déplacer latéralement dans le cluster. Cela présente également l'avantage de doter les services d'une protection contre les dénis de service accidentels ou intentionnels. Il existe deux façons de contrôler le trafic :
|
| Produits applicables |
GKE |
| Contrôles NIST-800-53 associés |
|
| Informations connexes |
Utiliser des contrôleurs d'admission pour appliquer les règles
| ID de contrôle Google | GKE-CO-1.12 |
|---|---|
| Implémentation | Obligatoire |
| Description | Les contrôleurs d'admission sont des plug-ins qui régissent et appliquent la façon dont le cluster est utilisé. Activez-les pour utiliser certaines des fonctionnalités de sécurité les plus avancées de Kubernetes, car ils constituent un élément important de l'approche de défense en profondeur pour renforcer votre cluster. Par défaut, les pods de Kubernetes peuvent fonctionner avec des capacités allant au-delà de leurs besoins. Utilisez des contrôles d'admission pour limiter les capacités du pod à celles requises pour la charge de travail. GKE permet de nombreux contrôles de l'exécution des pods afin qu'elle se limite aux fonctionnalités explicitement autorisées. Par exemple, Policy Controller est disponible pour les clusters dans les parcs. Kubernetes dispose également du contrôleur d'admission PodSecurity intégré qui vous permet d'appliquer les normes de sécurité des pods dans des clusters individuels. Policy Controller est une fonctionnalité de GKE qui vous permet d'appliquer et de valider la sécurité sur des clusters GKE à grande échelle à l'aide de règles déclaratives. |
| Produits applicables |
GKE |
| Contrôles NIST-800-53 associés |
|
| Informations connexes |
Restreindre les capacités d'automodification des charges de travail
| ID de contrôle Google | GKE-CO-1.13 |
|---|---|
| Implémentation | Obligatoire |
| Description | Certaines charges de travail Kubernetes, en particulier les charges de travail système, sont autorisées à s'automodifier. Par exemple, certaines charges de travail effectuent des autoscaling verticaux sur elle-mêmes. Bien que cette capacité soit pratique, elle peut permettre à un pirate informatique ayant déjà compromis un nœud de passer au niveau supérieur dans le cluster. Par exemple, un pirate informatique peut faire en sorte qu'une charge de travail sur le nœud se modifie pour s'exécuter en tant que compte de service plus privilégié qui existe dans le même espace de noms. N'accordez pas aux charges de travail l'autorisation de se modifier elles-mêmes par défaut. Lorsque l'automodification est nécessaire, limitez les autorisations en appliquant des contraintes Gatekeeper ou Policy Controller, telles que NoUpdateServiceAccount de la bibliothèque Open Source Gatekeeper, qui offre plusieurs règles de sécurité utiles. Lorsque vous déployez des règles, autorisez les contrôleurs qui gèrent le cycle de vie du cluster à les contourner. Les contrôleurs doivent apporter des modifications au cluster, telles que l'application de mises à niveau de cluster. Par exemple, si vous déployez la règle NoUpdateServiceAccount sur GKE, vous devez définir les paramètres suivants dans la contrainte : parameters: allowedGroups: - system:masters allowedUsers: - system:addon-manager |
| Produits applicables |
GKE |
| Contrôles NIST-800-53 associés |
|
| Informations connexes |
Surveiller les configurations de vos clusters
| ID de contrôle Google | GKE-CO-1.14 |
|---|---|
| Implémentation | Obligatoire |
| Description | Vérifiez les configurations de votre cluster pour repérer d'éventuels écarts par rapport aux paramètres que vous avez définis. Les paramètres couverts par ces bonnes pratiques, ainsi que d'autres erreurs de configuration courantes, peuvent être vérifiés automatiquement à l'aide de Security Command Center. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Informations connexes |
Appliquer l'autorisation binaire
| ID de contrôle Google | BIN-CO-1.1 |
|---|---|
| Implémentation | Obligatoire |
| Description | Utilisez l'autorisation binaire pour vous assurer que des images fiables sont déployées sur Google Kubernetes Engine (GKE) et Cloud Run. L'autorisation binaire permet de s'assurer que seules les images de conteneurs vérifiées et fiables peuvent être déployées dans vos clusters, ce qui renforce la sécurité de la chaîne d'approvisionnement logicielle. |
| Produits applicables |
|
| Chemin d'accès | constraints/binaryauthorization.requireBinauthz |
| Opérateur | == |
| Valeur |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utilisez GKE Autopilot
| Implémentation | Obligatoire |
|---|---|
| Description | Utilisez des clusters Google Kubernetes Engine (GKE) Autopilot. Les clusters Autopilot offrent des mesures de sécurité robustes, avec de nombreuses bonnes pratiques de sécurité pour les conteneurs ou GKE activées par défaut. |
| Produits applicables |
GKE |
| Chemin d'accès | container.clusters/autopilot.enabled |
| Opérateur | Est |
| Valeur |
|
| Type | Booléen |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utiliser des comptes avec le moindre privilège pour les clusters et les nœuds GKE
| Implémentation | Obligatoire |
|---|---|
| Description | Utilisez des comptes de service IAM (Identity and Access Management) avec des droits minimaux pour les clusters et les nœuds Google Kubernetes Engine (GKE). L'accès au plan de contrôle GKE est limité à un seul point de terminaison basé sur un DNS. L'implémentation du principe du moindre privilège réduit considérablement la surface d'attaque sans nécessiter de règles de pare-feu ni d'hôtes bastion supplémentaires. |
| Produits applicables |
GKE |
| Chemin d'accès | container.clusters/nodeConfig.serviceAccount |
| Opérateur | != |
| Valeur |
|
| Type | Chaîne |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utiliser des nœuds GKE privés
| Implémentation | Obligatoire |
|---|---|
| Description | Créez des nœuds privés pour réduire l'exposition à Internet. Les nœuds Google Kubernetes Engine (GKE) privés permettent de réduire l'exposition à Internet en s'assurant que les nœuds GKE ne disposent pas d'adresse IP publique. |
| Produits applicables |
GKE |
| Chemin d'accès | container.clusters/networkConfig.defaultEnablePrivateNodes |
| Opérateur | Est |
| Valeur |
|
| Type | Booléen |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utiliser les nœuds Confidential Google Kubernetes Engine
| Implémentation | Obligatoire |
|---|---|
| Description | Utilisez des nœuds Confidential GKE Node pour appliquer le chiffrement des données utilisées dans vos nœuds et charges de travail. Les nœuds Confidential GKE Node permettent de sécuriser les charges de travail très sensibles en chiffrant les données utilisées grâce à l'informatique confidentielle. |
| Produits applicables |
Google Kubernetes Engine (GKE) |
| Chemin d'accès | container.clusters/confidentialNodes.enabled |
| Opérateur | Est |
| Valeur |
|
| Type | Booléen |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Exécuter une autorité de certification personnalisée dans GKE
| Implémentation | Obligatoire |
|---|---|
| Description | Exécutez vos propres autorités de certification pour gérer les clés dans Google Kubernetes Engine (GKE). L'utilisation de vos propres autorités de certification vous permet de mieux contrôler les opérations de chiffrement. Pour demander l'accès à cette fonctionnalité, contactez l'équipe chargée de votre compte Google Cloud . |
| Produits applicables |
GKE |
| Chemin d'accès | container.clusters/userManagedKeysConfig.clusterCa |
| Opérateur | Est défini |
| Type | Chaîne |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Chiffrer les secrets Kubernetes à l'aide de Cloud KMS
| Implémentation | Obligatoire |
|---|---|
| Description | Chiffrez les secrets Kubernetes au repos à l'aide de clés gérées par Cloud Key Management Service (Cloud KMS). Cloud KMS fournit une couche de sécurité supplémentaire pour les données etcd en vous permettant de chiffrer les secrets Kubernetes à l'aide d'une clé dont vous êtes propriétaire et que vous gérez. |
| Produits applicables |
|
| Chemin d'accès | container.clusters/databaseEncryption.keyName |
| Opérateur | Est défini |
| Type | Chaîne |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utiliser CMEK pour les disques de démarrage des nœuds
| Implémentation | Obligatoire |
|---|---|
| Description | Utilisez des clés de chiffrement gérées par le client (CMEK) pour chiffrer les disque de démarrage des nœuds. Les CMEK vous permettent de chiffrer le disque de démarrage d'un nœud Kubernetes avec une clé dont vous êtes propriétaire et que vous gérez. |
| Produits applicables |
|
| Chemin d'accès | container.clusters/nodeConfig.bootDiskKmsKey |
| Opérateur | Est défini |
| Type | Chaîne |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Contrôles VMware Engine
Limiter les attributions de rôle d'administrateur pour VMware Engine
| ID de contrôle Google | GCVE-CO-3.1 |
|---|---|
| Implémentation | Obligatoire |
| Description | N'accordez de rôles d'administrateur qu'aux comptes de service qui déploient et configurent les clouds privés Google Cloud VMware Engine, ainsi qu'à un nombre limité d'administrateurs. En règle générale, l'ajout ou la suppression manuels de clusters et de nœuds sont des actions peu fréquentes qui peuvent avoir un impact important sur la facturation ou la disponibilité du cluster. Veillez à vérifier régulièrement qui s'est vu attribuer le rôle d'administrateur du service VMware Engine, que ce soit directement dans le projet utilisé pour VMware Engine ou à l'un des niveaux parents de la hiérarchie des ressources. Cet audit doit inclure d'autres rôles, comme les rôles de base "Éditeur" et "Propriétaire", qui incluent des autorisations critiques liées à VMware Engine. Vous pouvez utiliser des services tels que l'outil de recommandation de rôles IAM pour identifier les rôles possédant trop de privilèges. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utiliser le rôle "Lecteur du service VMware Engine" pour le principe du moindre privilège
| ID de contrôle Google | GCVE-CO-3.3 |
|---|---|
| Implémentation | Obligatoire |
| Description | N'attribuez le rôle Lecteur du service VMware Engine aux utilisateurs que si cela est nécessaire. Le rôle Lecteur du service VMware Engine permet d'accéder en lecture seule à Google Cloud VMware Engine sur Google Cloud et est conçu pour suffire à la plupart des tâches. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utiliser RBAC et le moindre privilège pour les rôles vCenter Server Appliance
| ID de contrôle Google | GCVE-CO-3.4 |
|---|---|
| Implémentation | Obligatoire |
| Description | Lorsque vous accordez des rôles au niveau de VMware dans vCenter Server Appliance, utilisez le contrôle des accès basé sur les rôles (RBAC) et le principe du moindre privilège. |
| Produits applicables |
VMware Engine |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utiliser la fédération d'identité pour les utilisateurs VMware
| ID de contrôle Google | GCVE-CO-3.5 |
|---|---|
| Implémentation | Obligatoire |
| Description | Maintenez une solution d'identité unique où vous pouvez provisionner et gérer les comptes utilisateur. Cette bonne pratique vous permet de centraliser des activités telles que la gestion du cycle de vie des identités, des groupes et des mots de passe. Évitez de créer une stratégie d'identité fragmentée. |
| Produits applicables |
VMware Engine |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Attribuer des rôles à des groupes plutôt qu'à des utilisateurs pour vCenter Server Appliance
| ID de contrôle Google | GCVE-CO-3.6 |
|---|---|
| Implémentation | Obligatoire |
| Description | Lorsque vous accordez des rôles au niveau de VMware dans vCenter Server Appliance, accordez-les aux groupes que vous créez dans votre fournisseur d'identité. Ne créez pas de stratégie d'identité fragmentée. |
| Produits applicables |
VMware Engine |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
N'attribuez pas le rôle de propriétaire du cloud à des groupes d'utilisateurs dans vSphere.
| ID de contrôle Google | GCVE-CO-3.7 |
|---|---|
| Implémentation | Obligatoire |
| Description | Lorsque vous créez des groupes d'utilisateurs dans vSphere, n'attribuez pas le rôle de propriétaire du cloud. Ce rôle accorde un contrôle administratif sur l'environnement vCenter de votre cloud privé tout en limitant certaines autorisations d'infrastructure globale sous-jacentes. Les groupes d'utilisateurs dont les autorisations sont supérieures au rôle de propriétaire du cloud sont automatiquement réinitialisés sur le rôle de propriétaire du cloud. |
| Produits applicables |
VMware Engine |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Éviter d'utiliser les comptes de service vCenter et NSX-T par défaut
| ID de contrôle Google | GCVE-CO-3.8 |
|---|---|
| Implémentation | Obligatoire |
| Description | À l'exception du processus de configuration initiale et des procédures d'urgence, n'utilisez pas le compte de service vCenter par défaut (CloudOwner@gve.local) ni l'administrateur de compte de service NSX-T par défaut (admin). Ces comptes de service par défaut incluent des autorisations puissantes telles que les rôles de propriétaire Cloud et d'administrateur d'entreprise. Enregistrez les identifiants de ces comptes de service dans Secret Manager. |
| Produits applicables |
VMware Engine |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Alterner les mots de passe des comptes de service vCenter et NSX-T par défaut tous les 90 jours
| ID de contrôle Google | GCVE-CO-3.9 |
|---|---|
| Implémentation | Obligatoire |
| Description | Pour éviter et atténuer la divulgation non autorisée des identifiants du compte de service vCenter par défaut (CloudOwner@gve.local) et de l'administrateur du compte de service NSX-T par défaut (admin), changez leurs mots de passe tous les 90 jours. |
| Produits applicables |
VMware Engine |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utiliser le pare-feu de passerelle NSX pour segmenter le trafic nord-sud
| ID de contrôle Google | GCVE-CO-1.2 |
|---|---|
| Implémentation | Obligatoire |
| Description | Contrôlez le trafic réseau nord-sud qui entre et sort de vos clouds privés à l'aide du pare-feu de passerelle NSX. Les pare-feu de passerelle NSX sont des pare-feu nord-sud qui aident à protéger les périmètres. |
| Produits applicables |
VMware Engine |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Utiliser le pare-feu distribué NSX pour segmenter le trafic est-ouest
| ID de contrôle Google | GCVE-CO-1.3 |
|---|---|
| Implémentation | Obligatoire |
| Description | Contrôlez le trafic réseau est-ouest dans votre cloud privé à l'aide du pare-feu distribué (DFW) NSX. Par défaut, tous les sous-réseaux peuvent communiquer entre eux. Utilisez DFW pour définir le trafic autorisé entre les applications et les services de votre application. |
| Produits applicables |
VMware Engine |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Créer des sous-réseaux distincts pour les charges de travail ayant des exigences de sécurité différentes
| ID de contrôle Google | GCVE-CO-1.4 |
|---|---|
| Implémentation | Obligatoire |
| Description | Si vous exécutez des charges de travail qui ont des exigences de sécurité ou des classifications de données différentes, créez des sous-réseaux de charge de travail pour les séparer. Les sous-réseaux vous permettent de réduire le rayon d'impact potentiel en ne mélangeant pas les charges de travail ayant des exigences et des postures de sécurité différentes. |
| Produits applicables |
VMware Engine |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Créer un récepteur de journaux pour stocker les journaux d'audit VMware Engine
| ID de contrôle Google | GCVE-CO-4.1 |
|---|---|
| Implémentation | Obligatoire |
| Description | Utilisez un récepteur de journaux pour stocker les journaux d'audit de l'API Google Cloud VMware Engine. Vous pouvez acheminer les journaux d'audit vers différentes destinations selon vos besoins. |
| Produits applicables |
VMware Engine |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Collecter les journaux de plate-forme au niveau VMware
| ID de contrôle Google | GCVE-CO-4.2 |
|---|---|
| Implémentation | Obligatoire |
| Description | Pour collecter les journaux de plate-forme au niveau de VMware (par exemple, les messages syslog vCenter et NSX-T), configurez les clouds privés Google Cloud VMware Engine pour qu'ils transfèrent les journaux syslog vers un agrégateur de journaux centralisé. Ces journaux ne sont pas collectés dans les journaux d'audit VMware Engine et doivent être collectés séparément. |
| Produits applicables |
VMware Engine |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Surveiller les applications à l'aide de Logging et Monitoring
| ID de contrôle Google | GCVE-CO-4.3 |
|---|---|
| Implémentation | Obligatoire |
| Description | Installez l'agent autonome pour activer Cloud Logging et Cloud Monitoring à partir de la plate-forme VMware vSphere. L'agent autonome vous permet de collecter les journaux au niveau de la charge de travail et de les envoyer à Logging et Monitoring pour analyse et stockage. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Créez des clouds privés dans des régions qui répondent à vos exigences en matière de résidence des données.
| ID de contrôle Google | GCVE-CO-2.1 |
|---|---|
| Implémentation | Obligatoire |
| Description | Créez des clouds privés Google Cloud VMware Engine dans des régions qui correspondent aux exigences de résidence des données de votre organisation. Les clouds privés sont des ressources provisionnées de longue durée qui ne sont pas faciles à déployer ni à déplacer. |
| Produits applicables |
VMware Engine |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Mettre en œuvre une stratégie de sauvegarde et de reprise après sinistre
| ID de contrôle Google | GCVE-CO-5.1 |
|---|---|
| Implémentation | Obligatoire |
| Description | Mettez en œuvre le service Backup and DR ou une solution de sauvegarde tierce pour les charges de travail. Par défaut, Google Cloud VMware Engine ne sauvegarde automatiquement que les configurations vCenter et NSX. Backup and DR facilite la sauvegarde et la récupération des VM. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Implémenter le chiffrement au niveau de l'application pour les charges de travail VMware
| ID de contrôle Google | GCVE-CO-1.1 |
|---|---|
| Implémentation | Obligatoire |
| Description | Assurez-vous que les applications qui s'exécutent sur Google Cloud VMware Engine chiffrent leur trafic. VMware Engine ne chiffre pas le trafic de charge de travail en transit. |
| Produits applicables |
VMware Engine |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Activer le chiffrement des données en transit sur les clusters VMware vSAN
| ID de contrôle Google | GCVE-CO-2.3 |
|---|---|
| Implémentation | Obligatoire |
| Description | Activez le chiffrement des données en transit sur les clusters VMware vSAN pour chiffrer les données, les métadonnées et le trafic du service de fichiers. |
| Produits applicables |
VMware Engine |
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Configurer le chiffrement des données au repos vSAN pour utiliser CMEK
| ID de contrôle Google | GCVE-CO-2.2 |
|---|---|
| Implémentation | Obligatoire |
| Description | Si votre environnement réglementaire l'exige, configurez le chiffrement des données au repos vSAN pour utiliser des clés de chiffrement gérées par le client (CMEK). |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Faire pivoter les clés utilisées pour le chiffrement des données vSAN au repos
| ID de contrôle Google | GCVE-CO-2.4 |
|---|---|
| Implémentation | Obligatoire |
| Description | Gérez le cycle de vie des clés de chiffrement de clé (KEK) que vous utilisez pour le chiffrement des données au repos vSAN. Implémentez une procédure de rotation des clés qui correspond aux exigences de votre organisation. |
| Produits applicables |
|
| Contrôles NIST-800-53 associés |
|
| Commandes associées du profil CRI |
|
| Informations connexes |
Étapes suivantes
Consultez les paramètres de gestion des données.
Consultez d'autres Google Cloud bonnes pratiques et consignes de sécurité.