אמצעי בקרה של התשתית

• under:organizations/ORGANIZATION_ID
• under:folders/FOLDER_ID
• under:projects/PROJECT_ID
• projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME.

אלא אם יש צורך בכך, מומלץ למנוע יצירה של מכונות Compute Engine עם כתובות IP ציבוריות. אילוץ הרשימה compute.vmExternalIpAccess מגדיר את קבוצת המכונות הווירטואליות של Compute Engine שיכולות להיות להן כתובות IP חיצוניות.

כדי לצמצם באופן משמעותי את החשיפה של מכונות Compute Engine לאינטרנט, אפשר למנוע מהן לקבל כתובות IP חיצוניות. כל מופע עם כתובת IP חיצונית ניתן לגילוי מיידי והופך למטרה ישירה לסריקות אוטומטיות, להתקפות ברוט פורס ולניסיונות לנצל נקודות חולשה. במקום זאת, אפשר לדרוש מהמופעים להשתמש בכתובות IP פרטיות ולנהל את הגישה באמצעות נתיבים מבוקרים, מאומתים ומתועדים, כמו מנהרת שרת proxy לאימות זהויות (IAP) או שרת באסטיון.

הגישה הזו של דחייה כברירת מחדל היא שיטה מומלצת בסיסית לאבטחה, שעוזרת למזער את שטח הפנים להתקפה ולאכוף גישת אפס אמון ברשת. המגבלה הזו לא חלה רטרואקטיבית.

אילוץ הרשימה compute.vmExternalIpAccess מאפשר לכם להגביל את הגישה החיצונית למכונות וירטואליות על ידי אי-הקצאה של כתובות IP חיצוניות. כדי למנוע ממכונות וירטואליות להשתמש בכתובות IP חיצוניות, מגדירים את אילוץ הרשימה הזה.

האילוץ הבוליאני cloudfunctions.requireVPCConnector מחייב את האדמינים לציין מחבר של Serverless VPC Access כשהם פורסים פונקציה של Cloud Run. כשמפעילים את האכיפה, הפונקציות חייבות לציין מחבר.

• הגדרת מדיניות לאחסון הודעות באמצעות האילוץ של מדיניות הארגון בנושא הגבלת מיקום משאבים (gcp.resourceLocations).
• מגדירים מדיניות לאחסון הודעות כשיוצרים נושא. לדוגמה:

  gcloud pubsub topics create TOPIC_ID \--message-storage-policy-allowed-regions=REGION1, REGION2

להשבית כתובות IP חיצוניות למשימות ניהול ומעקב שקשורות למשימות Dataflow. במקום זאת, מגדירים גישה למכונות וירטואליות של עובדי Dataflow באמצעות SSH.

מפעילים את הגישה הפרטית ל-Google ומציינים אחת מהאפשרויות הבאות בעבודת Dataflow:

• --usePublicIps=false וגם --network=NETWORK-NAME
• --subnetwork=SUBNETWORK-NAME

כאשר:

• ‫NETWORK-NAME: השם של רשת Compute Engine.
• ‫SUBNETWORK-NAME: השם של רשת המשנה ב-Compute Engine.

תגי רשת הם מאפייני טקסט שמצורפים למכונות וירטואליות ב-Compute Engine, כמו מכונות וירטואליות של עובדים ב-Dataflow. תגי רשת מאפשרים לכם ליצור כללי חומת אש לרשתות VPC ומסלולים סטטיים מותאמים אישית שרלוונטיים למכונות וירטואליות ספציפיות. ‫Dataflow תומך בהוספת תגי רשת לכל המכונות הווירטואליות של העובדים שמריצות משימת Dataflow מסוימת.

כברירת מחדל, למישורי הבקרה ולצמתים של אשכולות Google Kubernetes Engine‏ (GKE) יש כתובות ניתוב באינטרנט שאפשר לגשת אליהן מכל כתובת IP. הגבלת הגישה לרשת למישור הבקרה באמצעות נקודת קצה (endpoint) מבוססת-DNS ויצירת אשכולות פרטיים. רמת הבקרה היא מרכז הניהול של אשכול Kubernetes, וחשיפתה לאינטרנט הופכת אותה למטרה עיקרית לתוקפים. ההגדרה הזו הופכת את מישור הבקרה לפרטי ומסירה אותו מהאינטרנט.

הגבלת הגישה למישור הבקרה עוזרת לוודא שרק מכשירים מהימנים ברשת הפרטית של הארגון יכולים לנהל את האשכול, וכך מצמצמת באופן משמעותי את הסיכון למתקפה חיצונית.

כשיוצרים כללים לחומת האש, מומלץ להשתמש בעיקרון של הרשאות מינימליות כדי לספק גישה רק למטרה הנדרשת. במידת האפשר, מוודאים שאין התנגשות בין הכללים של חומת האש לבין כללי ברירת המחדל של חומת האש ב-GKE.

אפשר להשתמש בקבוצות Google לבקרת גישה מבוססת-תפקידים (RBAC). כך תוכלו גם לשלב את קבוצות Google עם שיטות הניהול הקיימות של חשבונות המשתמשים, כמו ביטול הגישה כשמישהו עוזב את הארגון. קבוצות Google ל-RBAC עוזרות לנהל ביעילות את הגישה לאשכול באמצעות ניהול זהויות והרשאות גישה (IAM) וקבוצות Google. הפתרון הזה מתאים לרוב הארגונים שמשתמשים בקבוצות Google.

הפעלת צומתי GKE מוגנים לאימות קריפטוגרפי של הצמתים באשכול. צומתי GKE מוגנים מספקים זהות ותקינות חזקות וניתנות לאימות של הצומת. מפעילים את התכונה 'צומתי GKE מוגנים' כשיוצרים או מעדכנים אשכולות. במקרים שבהם הדבר אפשרי, כדאי להשתמש בצומתי GKE מוגנים עם הפעלה מאובטחת כדי לאמת גם את רכיבי האתחול של המכונות הווירטואליות של הצומת במהלך תהליך האתחול. אל תשתמשו בהפעלה מאובטחת אם אתם צריכים מודולים של ליבת מערכת לא חתומים מצד שלישי.

התכונה 'צומתי GKE מוגנים' מופעלת כברירת מחדל כשיוצרים אשכול.

שימוש במערכת הפעלה שמותאמת לקונטיינרים כדי להטמיע מערכת הפעלה מנוהלת לקונטיינרים עם אבטחה משופרת. מערכות הפעלה לשימוש כללי כוללות הרבה תוכניות נוספות שלא נדרשות להפעלת קונטיינרים, ולכן הן יוצרות יעד גדול יותר ומיותר לתוקפים. מערכת ההפעלה שמותאמת לקונטיינרים היא מערכת הפעלה מינימלית ומוגבלת, שמצמצמת באופן משמעותי את שטח הפנים הזה להתקפה, כי היא כוללת רק את מה שנדרש. בנוסף, מערכת הפעלה שמותאמת לקונטיינרים היא מערכת הפעלה מנוהלת, ולכן Google מחילה עליה באופן אוטומטי תיקוני אבטחה. כך אפשר לוודא שנקודות חולשה קריטיות יתוקנו, וגם לצמצם את עומס העבודה התפעולי.

תמונה שכוללת מערכת הפעלה שמותאמת לקונטיינרים עם containerd‏ (cos_containerd) מכילה את containerd כזמן הריצה הראשי של הקונטיינר שמשולב ישירות עם Kubernetes. ‏containerd הוא רכיב הליבה של זמן הריצה של Docker, והוא מיועד לספק פונקציונליות ליבה של קונטיינרים לממשק זמן הריצה של הקונטיינרים (CRI) של Kubernetes. הוא פשוט בהרבה מ-Docker daemon המלא, ולכן שטח הפנים שלו להתקפה קטן יותר.

אתם יכולים להשתמש באיחוד זהויות של עומסי עבודה ל-GKE כדי לבצע אימות מאובטח ל-API מתוך עומסי עבודה של Google Kubernetes Engine ‏ (GKE). Google Cloud איחוד זהויות של עומסי עבודה ל-GKE מספק חלופה פשוטה ובטוחה יותר לשימוש במפתחות של חשבונות שירות.

אתם יכולים להשתמש ב-GKE Sandbox כדי לספק שכבת אבטחה נוספת שתעזור למנוע מקוד לא מהימן להשפיע על ליבת המארח בצמתים של אשכול Google Kubernetes Engine‏ (GKE). GKE Sandbox משפר את הבידוד של עומסי עבודה לא מהימנים או רגישים, ומספק שכבת הגנה נוספת מפני מתקפות של פירצה בקונטיינר.

משביתים את יציאת kubelet לקריאה בלבד 10255 ומשתמשים ביציאה מאובטחת יותר 10250 במקום זאת. ‫Kubernetes לא מבצעת בדיקות אימות או הרשאה ביציאה הזו. ‫kubelet משרת את אותן נקודות קצה ביציאה 10250 המאובטחת יותר, שדורשת אימות.

אפשר להשבית את יציאת ה-kubelet הלא מאובטחת לקריאה בלבד רק ב-GKE גרסה ‎1.26.4-gke.500 ואילך.

כדי להטמיע גישה עם הרשאות מינימליות ל-Kubernetes, צריך ליצור מרחבי שמות או אשכולות נפרדים לכל צוות וסביבה. כדי לשמור על שקיפות ולבצע חיובים חוזרים, צריך להקצות מרכזי עלות ותוויות מתאימות לכל מרחב שמות. חשוב לתת למפתחים רק את רמת הגישה למרחב השמות שהם צריכים כדי לפרוס ולנהל את האפליקציה שלהם, במיוחד בסביבת הייצור. מגדירים את המשימות שהמשתמשים צריכים לבצע באשכול ומגדירים את ההרשאות שנדרשות לביצוע כל משימה.

מקצים לקבוצות ולמשתמשים את התפקידים המתאימים לניהול זהויות והרשאות גישה (IAM) ב-Google Kubernetes Engine ‏ (GKE) כדי לספק הרשאות ברמת הפרויקט, ומשתמשים ב-RBAC כדי להעניק הרשאות ברמת האשכול ומרחב השמות.

כברירת מחדל, כל ה-pods באותו אשכול יכולים לתקשר ביניהם. שליטה בתקשורת בין פודים לפי הצורך בעומסי העבודה. הגבלת הגישה לרשת לשירותים מקשה מאוד על תוקפים לנוע לרוחב בתוך האשכול, ומספקת לשירותים גם הגנה מסוימת מפני מניעת שירות (DoS) מקרית או מכוונת.

יש שתי דרכים לשלוט בתנועה:

• משתמשים ב-Cloud Service Mesh או ב-Istio כדי לאזן עומסים, להרשות גישה לשירותים, להגביל את קצב הבקשות, להגדיר מכסות, להציג מדדים ועוד.
• שימוש בכללי מדיניות של רשת Kubernetes. בוחרים באפשרות הזו אם מחפשים את הפונקציונליות הבסיסית של בקרת הגישה שמוצגת על ידי Kubernetes.

בקרי הכניסה הם תוספים ששולטים באופן השימוש באשכול ומאכפים אותו. הפעלת ההרשאות מאפשרת להשתמש בחלק מתכונות האבטחה המתקדמות יותר של Kubernetes, כי הן חלק חשוב בגישת ההגנה לעומק לחיזוק האבטחה של האשכול. כברירת מחדל, פודים ב-Kubernetes יכולים לפעול עם יכולות מעבר למה שנדרש. משתמשים באמצעי בקרה על קבלת בקשות כדי להגביל את היכולות של ה-Pod רק לאלה שנדרשות לעומס העבודה הזה.

‫GKE תומך באמצעי בקרה רבים להגבלת הפעלת ה-Pods עם הרשאות שניתנו באופן מפורש. לדוגמה, Policy Controller זמין לאשכולות בציים. ל-Kubernetes יש גם בקר קבלה מובנה של PodSecurity שמאפשר לאכוף את תקני האבטחה של Pod באשכולות נפרדים. Policy Controller היא תכונה של GKE שמאפשרת לאכוף ולאמת אבטחה באשכולות GKE בקנה מידה גדול באמצעות מדיניות הצהרתית.

לעומסי עבודה מסוימים ב-Kubernetes, במיוחד לעומסי עבודה של המערכת, יש הרשאה לשנות את עצמם. לדוגמה, חלק מעומסי העבודה מבצעים שינוי גודל אוטומטי אנכי בעצמם. האפשרות הזו נוחה, אבל היא עלולה לאפשר לתוקף שכבר פרץ לצומת להשיג הרשאות גבוהות יותר באשכול. לדוגמה, יכול להיות שלתוקף יש עומס עבודה בצומת, והוא יכול לשנות את הצומת כך שיפעל כחשבון שירות עם הרשאות גבוהות יותר שקיים באותו מרחב שמות.

כברירת מחדל, לא מעניקים לעומסי עבודה את ההרשאה לשנות את עצמם. כשנדרש שינוי עצמי, צריך להגביל את ההרשאות באמצעות החלת אילוצים של Gatekeeper או Policy Controller, כמו NoUpdateServiceAccount מספריית Gatekeeper של קוד פתוח, שמספקת כמה כללי מדיניות שימושיים בנושא אבטחה.

כשפורסים מדיניות, צריך לאפשר לבקרים שמנהלים את מחזור החיים של האשכול לעקוף את המדיניות. הבקרה צריכה לבצע שינויים באשכול, כמו החלת שדרוגים באשכול. לדוגמה, אם פורסים את המדיניות NoUpdateServiceAccount ב-GKE, צריך להגדיר את הפרמטרים הבאים באילוץ:

בודקים את הגדרות האשכול כדי לזהות חריגות מההגדרות שהוגדרו. אפשר להשתמש ב-Security Command Center כדי לבדוק באופן אוטומטי את ההגדרות שמופיעות בשיטות המומלצות האלה, וגם הגדרות נפוצות אחרות שגויות.

כדאי להשתמש ב-Binary Authorization כדי לוודא שקובצי אימג' מהימנים נפרסים ב-Google Kubernetes Engine‏ (GKE) וב-Cloud Run. Binary Authorization עוזר לוודא שאפשר לפרוס באשכולות רק קובצי אימג' מאומתים ומהימנים של קונטיינרים, וכך מחזק את האבטחה של שרשרת האספקה של התוכנה.

כדאי להקצות תפקידי אדמין רק לחשבונות השירות שפורסים ומגדירים עננים פרטיים של Google Cloud VMware Engine, ולמספר מוגבל של אדמינים. בדרך כלל, הוספה או מחיקה ידנית של אשכולות וצמתים היא פעולה שלא מתבצעת לעיתים קרובות, ויכולה להיות לה השפעה רבה על החיוב או על הזמינות של האשכול.

חשוב לבדוק באופן קבוע למי הוקצה התפקיד 'אדמין שירות' ב-VMware Engine, ישירות בפרויקט שמשמש ל-VMware Engine או באחת מרמות ההורה בהיררכיית המשאבים. הביקורת צריכה לכלול תפקידים אחרים, כמו התפקידים הבסיסיים 'עריכה' ו'בעלים', שכוללים הרשאות קריטיות שקשורות ל-VMware Engine. אתם יכולים להשתמש בשירותים כמו שירות המלצות לתפקידי IAM כדי לזהות תפקידים עם יותר מדי הרשאות.

כדאי להקצות למשתמשים את התפקיד 'צפייה בשירות VMware Engine' כברירת מחדל, ורק אם יש צורך בכך. התפקיד 'צפייה בשירות VMware Engine' מספק גישת קריאה בלבד ל-Google Cloud VMware Engine Google Cloud ומיועד להספיק לרוב המשימות.

כשמעניקים תפקידים ברמת VMware ב-vCenter Server Appliance, מומלץ להשתמש בבקרת גישה שמבוססת על תפקידים (RBAC) ובעיקרון של הרשאות מינימליות.

לשמור על פתרון זהות יחיד שבו אפשר להקצות ולנהל חשבונות משתמשים. השיטה המומלצת הזו מאפשרת לכם לרכז פעילויות כמו ניהול מחזור החיים של הזהויות, ניהול קבוצות וניהול סיסמאות. אל תיצרו אסטרטגיית זהויות מפוצלת.

כשנותנים תפקידים ברמת VMware ב-vCenter Server Appliance, צריך לתת תפקידים לקבוצות שיוצרים בספק הזהויות. לא כדאי ליצור אסטרטגיית זהויות מפוצלת.

כשיוצרים קבוצות משתמשים ב-vSphere, לא מקצים את התפקיד Cloud-Owner-Role. התפקיד הזה מעניק שליטה אדמיניסטרטיבית בסביבת vCenter של הענן הפרטי, תוך הגבלת הרשאות מסוימות בתשתית הגלובלית הבסיסית. קבוצות משתמשים עם הרשאות גבוהות יותר מ-Cloud-Owner-Role מאופסות אוטומטית ל-Cloud-Owner-Role.

למעט תהליך ההגדרה הראשוני ונהלי חירום, אל תשתמשו בחשבון השירות של vCenter שמוגדר כברירת מחדל (CloudOwner@gve.local) ובאדמין של חשבון השירות של NSX-T שמוגדר כברירת מחדל (admin). חשבונות השירות שמוגדרים כברירת מחדל כוללים הרשאות חזקות כמו Cloud-Owner-Role ו-Enterprise Admin. שומרים את פרטי הכניסה של חשבונות השירות האלה ב-Secret Manager.

כדי למנוע חשיפה לא מורשית של פרטי הכניסה לחשבון השירות של vCenter שמוגדר כברירת מחדל (CloudOwner@gve.local) ולחשבון האדמין של שירות NSX-T שמוגדר כברירת מחדל (admin), צריך להחליף את הסיסמאות שלהם כל 90 יום.

שליטה בתעבורת הרשת מצפון לדרום שנכנסת לעננים הפרטיים ויוצאת מהם באמצעות חומת האש של NSX Gateway. חומות אש של NSX Gateway הן חומות אש מצפון לדרום שעוזרות להגן על הגבולות.

שליטה בתעבורת הנתונים ברשת מזרח-מערב בענן הפרטי באמצעות חומת האש המבוזרת (DFW) של NSX. כברירת מחדל, כל רשתות המשנה יכולות לתקשר ביניהן. משתמשים ב-DFW כדי להגדיר תנועה מותרת בין אפליקציות ושירותים בתוך האפליקציה.

אם אתם מריצים עומסי עבודה עם דרישות אבטחה או סיווגי נתונים שונים, כדאי ליצור רשתות משנה של עומסי עבודה כדי להפריד ביניהם. רשתות משנה מאפשרות לצמצם את רדיוס הפיצוץ הפוטנציאלי על ידי הפרדה בין עומסי עבודה עם דרישות אבטחה שונות.

אפשר להשתמש ב-sink ביומן כדי לאחסן יומני ביקורת של Google Cloud VMware Engine API. אפשר לנתב יומני ביקורת ליעדים שונים לפי הצורך.

כדי לאסוף יומנים ברמת הפלטפורמה של VMware (לדוגמה, הודעות syslog של vCenter ו-NSX-T), צריך להגדיר עננים פרטיים של Google Cloud VMware Engine להעברת יומני syslog למצבר יומנים מרכזי. היומנים האלה לא נאספים ביומני הביקורת של VMware Engine, וצריך לאסוף אותם בנפרד.

מתקינים את הסוכן העצמאי כדי להפעיל את Cloud Logging ו-Cloud Monitoring מפלטפורמת VMware vSphere. הסוכן העצמאי מאפשר לכם לאסוף יומנים ברמת עומס העבודה ולשלוח אותם ל-Logging ול-Monitoring לצורך ניתוח ואחסון.

יוצרים עננים פרטיים של Google Cloud VMware Engine באזורים שתואמים לדרישות של הארגון לגבי מיקום הנתונים. עננים פרטיים הם משאבים מוקצים לטווח ארוך, שקשה לפרוס אותם ולהעביר אותם.

מטמיעים את שירות Backup and DR או פתרון גיבוי של צד שלישי לעומסי עבודה. כברירת מחדל, ‏ Google Cloud VMware Engine מגבה באופן אוטומטי רק את ההגדרות של vCenter ו-NSX. ‫Backup and DR מאפשר גיבוי ושחזור קלים יותר של מכונות וירטואליות.

מוודאים שהתנועה של אפליקציות שפועלות ב-Google Cloud VMware Engine מוצפנת. ב-VMware Engine, תעבורת הנתונים של עומסי העבודה לא מוצפנת בזמן ההעברה.

כדי להצפין נתונים, מטא נתונים ותעבורה של שירות קבצים, צריך להפעיל הצפנה של נתונים במעבר באשכולות VMware vSAN.

אם הסביבה הרגולטורית שלכם דורשת זאת, אתם יכולים להגדיר הצפנה של נתונים במנוחה ב-vSAN לשימוש במפתחות הצפנה בניהול הלקוח (CMEK).

ניהול מחזור החיים של המפתחות להצפנת מפתחות הצפנה (KEK) שבהם אתם משתמשים להצפנת נתונים במנוחה ב-vSAN. מטמיעים הליך של רוטציית מפתחות בהתאם לדרישות של הארגון.