Kontrol infrastruktur

Dokumen ini mencakup praktik terbaik dan panduan untuk Google Cloud layanan seperti Compute Engine, Google Kubernetes Engine (GKE), Pub/Sub, Dataflow, dan Cloud Run Functions saat menjalankan workload di Google Cloud.

Kontrol komputasi

Kontrol ini berlaku untuk layanan komputasi.

Menentukan instance VM yang dapat mengaktifkan penerusan IP

ID kontrol Google VPC-CO-6.3
Penerapan Wajib
Deskripsi
Batasan compute.vmCanIpForward menentukan instance VM yang dapat mengaktifkan penerusan IP. Secara default, semua VM dapat mengaktifkan penerusan IP di jaringan virtual mana pun. Tentukan instance VM menggunakan salah satu format berikut:
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME.
Batasan ini tidak berlaku surut.
Produk yang berlaku
  • Organization Policy Service
  • Virtual Private Cloud (VPC)
  • Compute Engine
Jalur constraints/compute.vmCanIpForward
Operator =
Nilai

Your list of VM instances that can enable IP forwarding.

Jenis Daftar
Kontrol NIST-800-53 terkait
  • SC-7
  • SC-8
Kontrol profil CRI terkait
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informasi terkait

Menonaktifkan virtualisasi bertingkat VM

ID kontrol Google VPC-CO-6.6
Penerapan Wajib
Deskripsi
Batasan boolean compute.disableNestedVirtualization menonaktifkan virtualisasi bertingkat dengan akselerasi hardware untuk VM Compute Engine.
Produk yang berlaku
  • Organization Policy Service
  • Virtual Private Cloud (VPC)
  • Compute Engine
Jalur constraints/compute.disableNestedVirtualization
Operator Adalah
Nilai

True

Jenis Boolean
Kontrol NIST-800-53 terkait
  • SC-7
  • SC-8
Kontrol profil CRI terkait
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informasi terkait

Membatasi alamat IP eksternal pada VM

ID kontrol Google VPC-CO-6.2
Penerapan Wajib
Deskripsi

Kecuali jika diperlukan, cegah pembuatan instance Compute Engine dengan alamat IP publik. Batasan daftar compute.vmExternalIpAccess menentukan kumpulan instance VM Compute Engine yang dapat memiliki alamat IP eksternal.

Mencegah instance Compute Engine memiliki alamat IP eksternal untuk mengurangi eksposur instance tersebut ke internet secara drastis. Setiap instance dengan alamat IP eksternal dapat langsung ditemukan dan menjadi target langsung untuk pemindaian otomatis, serangan brute force, dan upaya untuk mengeksploitasi kerentanan. Sebagai gantinya, mewajibkan instance menggunakan alamat IP pribadi dan mengelola akses melalui jalur yang terkontrol, diautentikasi, dan dicatat seperti tunnel Identity-Aware Proxy (IAP) atau bastion host.

Mengadopsi postur tolak secara default ini adalah praktik terbaik keamanan dasar yang membantu meminimalkan permukaan serangan Anda dan menerapkan pendekatan zero-trust ke jaringan Anda. Batasan ini tidak berlaku surut.

Produk yang berlaku
  • Organization Policy Service
  • Virtual Private Cloud (VPC)
  • Compute Engine
Jalur constraints/compute.vmExternalIpAccess
Operator =
Nilai

The list of VM instances in your organization that can have external IP addresses.

Jenis Daftar
Kontrol NIST-800-53 terkait
  • SC-7
  • SC-8
Kontrol profil CRI terkait
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informasi terkait

Menentukan alamat IP eksternal yang diizinkan untuk instance VM

ID kontrol Google CBD-CO-6.3
Penerapan Wajib
Deskripsi

Batasan daftar compute.vmExternalIpAccess memungkinkan Anda membatasi akses eksternal ke mesin virtual dengan tidak menetapkan alamat IP eksternal. Konfigurasi batasan daftar ini untuk menolak semua alamat IP eksternal ke mesin virtual.

Produk yang berlaku
  • Organization Policy Service
  • Compute Engine
Jalur compute.vmExternalIpAccess
Operator =
Nilai

Deny All

Jenis Daftar
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informasi terkait

Menonaktifkan akses port serial VM

Penerapan Wajib
Deskripsi

Nonaktifkan akses port serial dengan menetapkan batasan kebijakan organisasi compute.disableSerialPortAccess. Nonaktifkan akses port serial di VM Compute Engine Anda untuk membantu menghilangkan saluran akses yang melewati aturan firewall dan kontrol keamanan jaringan lainnya. Konsol serial interaktif terutama ditujukan untuk pemecahan masalah darurat, tetapi, jika Anda membiarkannya diaktifkan, Anda dapat membuat pintu belakang persisten yang dapat ditargetkan oleh penyerang.

Menonaktifkan akses port serial membantu menerapkan postur keamanan pertahanan mendalam dengan mewajibkan semua akses administratif melalui jalur standar yang diaudit seperti SSH, yang dapat Anda lindungi dengan mengaktifkan Identity and Access Management (IAM) dan Identity-Aware Proxy (IAP).

Produk yang berlaku

Compute Engine

Jalur constraints/compute.disableSerialPortAccess
Operator =
Nilai

True

Kontrol NIST-800-53 terkait
  • AC-3
Kontrol profil CRI terkait
  • PR.AC-3.1
Informasi terkait

Mewajibkan konektor VPC untuk fungsi Cloud Run

ID kontrol Google CF-CO-4.4
Penerapan Wajib
Deskripsi

Batasan boolean cloudfunctions.requireVPCConnector mewajibkan administrator menentukan konektor Akses VPC Serverless saat men-deploy fungsi Cloud Run. Jika diterapkan, fungsi harus menentukan konektor.

Produk yang berlaku
  • Organization Policy Service
  • Cloud Run Functions
Jalur constraints/cloudfunctions.requireVPCConnector
Operator =
Nilai

True

Jenis Boolean
Kontrol NIST-800-53 terkait
  • SC-7
  • SC-8
Kontrol profil CRI terkait
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informasi terkait

Mengaktifkan fitur Shielded VM

Penerapan Wajib
Deskripsi

Aktifkan atribut virtual trusted platform module (vTPM) dan pemantauan integritas Shielded VM untuk instance Anda. Atribut vTPM dan pemantauan integritas adalah bagian dari proses pembuatan instance VM default. Gunakan atribut vTPM dan pemantauan integritas Shielded VM untuk membantu memastikan bahwa VM Anda hanya melakukan booting dengan kode tepercaya yang tidak dimodifikasi.

vTPM menyediakan kriptoprosesor virtual yang aman yang menghasilkan dan menyimpan pengukuran kriptografi dari seluruh urutan booting, mulai dari firmware UEFI hingga driver kernel. Pemantauan integritas kemudian terus-menerus membandingkan pengukuran runtime ini dengan dasar pengukuran yang diketahui baik yang ditetapkan saat VM pertama kali dibuat.

Fitur ini menyediakan rantai kepercayaan yang dapat diverifikasi dan secara otomatis memberi tahu Anda atau mengambil tindakan jika mendeteksi modifikasi berbahaya, seperti yang berasal dari bootkit atau rootkit. Fitur Shielded VM membantu menjaga integritas workload Anda sejak instance diaktifkan.

Produk yang berlaku

Compute Engine

Jalur compute.instances/shieldedInstanceConfig.enableVtpm
Operator Adalah
Nilai

True

Jenis Boolean
Kontrol NIST-800-53 terkait
  • SI-7
Kontrol profil CRI terkait
  • PR.DS-6.1
Informasi terkait

Menerapkan Login OS untuk VM

Penerapan Wajib
Deskripsi

Jika Anda mengizinkan developer mengakses resource Compute Engine menggunakan SSH, konfigurasi Login OS dengan verifikasi 2 langkah. Gunakan Login OS untuk mengelola kunci SSH dengan kebijakan Identity and Access Management (IAM) dengan menetapkan batasan kebijakan organisasi compute.requireOsLogin. Login OS memusatkan akses VM dengan mengikat izin SSH ke identitas Google dan peran IAM pengguna, sehingga tidak perlu mengelola kunci SSH satu per satu di setiap mesin.

Mengaitkan izin SSH dengan identitas pengguna sangat penting untuk keamanan karena menghapus peran IAM pengguna akan langsung mencabut aksesnya di semua instance, sehingga melindungi dari entri yang tidak sah dari akun yang tidak aktif. Sistem ini menyederhanakan pengelolaan kunci untuk membantu mencegah penumpukan kunci dan menyediakan jejak audit yang jelas dan terpusat untuk semua peristiwa login di Cloud Audit Logs. Login OS juga memungkinkan Anda menerapkan autentikasi 2 langkah, yang menambahkan lapisan perlindungan penting terhadap kredensial dan kunci SSH yang dicuri. Penyerang yang memiliki token OAuth yang telah disusupi tetapi tidak memiliki sandi atau kunci keamanan akan diblokir oleh fitur ini.

Akses Remote Desktop Protocol (RDP) ke instance Windows di Compute Engine tidak mendukung layanan Login OS, sehingga verifikasi 2 langkah tidak dapat diterapkan secara terperinci untuk sesi RDP. Saat menggunakan IAP Desktop atau plugin RDP berbasis Google Chrome, setel kontrol terperinci seperti durasi sesi untuk layanan Google dan setelan verifikasi 2 langkah untuk sesi web pengguna serta nonaktifkan setelan Izinkan pengguna mempercayai perangkat di bagian verifikasi 2 langkah.

Produk yang berlaku

Compute Engine

Jalur compute.projects/commonInstanceMetadata.items
Operator Adalah
Nilai

enable-oslogin=TRUE

Jenis Boolean
Kontrol NIST-800-53 terkait
  • AC-2
Kontrol profil CRI terkait
  • PR.AC-1.1
Informasi terkait

Mengonfigurasi kebijakan penyimpanan pesan

ID kontrol Google PS-CO-4.1
Penerapan Opsional
Deskripsi
Jika Anda memublikasikan pesan ke endpoint Pub/Sub global, Pub/Sub akan otomatis menyimpan pesan di region Google Cloud terdekat. Untuk mengontrol region tempat pesan Anda disimpan, konfigurasi kebijakan penyimpanan pesan di topik Anda. Gunakan salah satu cara berikut untuk mengonfigurasi kebijakan penyimpanan pesan untuk topik:
  • Tetapkan kebijakan penyimpanan pesan menggunakan batasan kebijakan organisasi Pembatasan Lokasi Resource (gcp.resourceLocations).
  • Konfigurasi kebijakan penyimpanan pesan saat membuat topik. Contoh:

    gcloud pubsub topics create TOPIC_ID \--message-storage-policy-allowed-regions=REGION1, REGION2

Produk yang berlaku
  • Organization Policy Service
  • Pub/Sub
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informasi terkait

Menonaktifkan alamat IP eksternal untuk tugas Dataflow

ID kontrol Google DF-CO-6.1
Penerapan Opsional
Deskripsi

Nonaktifkan alamat IP eksternal untuk tugas administratif dan pemantauan yang terkait dengan tugas Dataflow. Sebagai gantinya, konfigurasi akses ke VM pekerja Dataflow Anda menggunakan SSH.

Aktifkan Akses Google Pribadi dan tentukan salah satu opsi berikut dalam tugas Dataflow Anda:

  • --usePublicIps=false dan --network=NETWORK-NAME
  • --subnetwork=SUBNETWORK-NAME

Dengan:

  • NETWORK-NAME: Nama jaringan Compute Engine Anda.
  • SUBNETWORK-NAME: Nama subnetwork Compute Engine Anda.
Produk yang berlaku
  • Compute Engine
  • Dataflow
Kontrol NIST-800-53 terkait
  • SC-7
  • SC-8
Kontrol profil CRI terkait
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informasi terkait

Menggunakan tag jaringan untuk aturan firewall

ID kontrol Google DF-CO-6.2
Penerapan Opsional
Deskripsi

Tag jaringan adalah atribut teks yang terpasang ke VM Compute Engine seperti VM pekerja Dataflow. Dengan tag jaringan, Anda dapat membuat aturan firewall jaringan VPC dan beberapa rute statis kustom yang berlaku untuk instance VM tertentu. Dataflow mendukung penambahan tag jaringan ke semua VM pekerja yang menjalankan tugas Dataflow tertentu.

Produk yang berlaku
  • Compute Engine
  • Dataflow
Kontrol NIST-800-53 terkait
  • SC-7
  • SC-8
Kontrol profil CRI terkait
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informasi terkait

Kontrol penampung

Kontrol ini berlaku untuk container dalam GKE.

Membatasi akses bidang kontrol

ID kontrol Google GKE-CO-1.1
Penerapan Wajib
Deskripsi

Secara default, bidang kontrol dan node cluster Google Kubernetes Engine (GKE) memiliki alamat yang dapat dirutekan di internet dan dapat diakses dari alamat IP apa pun. Batasi akses jaringan ke bidang kontrol dengan menggunakan endpoint berbasis DNS dan dengan membuat cluster pribadi. Bidang kontrol adalah pusat pengelolaan untuk cluster Kubernetes, dan mengeksposnya ke internet menjadikannya target utama bagi penyerang. Konfigurasi ini membuat bidang kontrol bersifat pribadi dan menghapusnya dari internet.

Membatasi akses bidang kontrol membantu memastikan bahwa hanya perangkat tepercaya dalam jaringan pribadi organisasi Anda yang dapat mengelola cluster, sehingga secara drastis mengurangi risiko serangan eksternal.

Produk yang berlaku

GKE

Kontrol NIST-800-53 terkait
  • SC-7
Kontrol profil CRI terkait
  • PR.AC-3.1
Informasi terkait

Menggunakan aturan firewall hak istimewa terendah

ID kontrol Google GKE-CO-1.2
Penerapan Wajib
Deskripsi

Saat Anda membuat aturan firewall, gunakan prinsip hak istimewa terendah guna membatasi akses hanya untuk tujuan yang diperlukan. Pastikan aturan firewall Anda tidak bentrok dengan aturan firewall default GKE jika memungkinkan.

Produk yang berlaku

GKE

Kontrol NIST-800-53 terkait
  • AC-3
  • AC-4
  • AC-17
  • SC-7
Informasi terkait

Menggunakan Google Grup untuk RBAC

ID kontrol Google GKE-CO-1.3
Penerapan Wajib
Deskripsi

Gunakan Google Grup untuk kontrol akses berbasis peran (RBAC), yang juga memungkinkan Anda berintegrasi dengan praktik pengelolaan akun pengguna yang ada, seperti mencabut akses saat seseorang keluar dari organisasi Anda. Google Grup untuk RBAC membantu memberikan pengelolaan akses cluster yang efisien menggunakan Identity and Access Management (IAM) dan Google Grup, yang cocok untuk sebagian besar organisasi yang menggunakan Google Grup.

Produk yang berlaku

Google Kubernetes Engine (GKE)

Kontrol NIST-800-53 terkait
  • AC-2
Kontrol profil CRI terkait
  • PR.AC-1.1
Informasi terkait

Mengaktifkan Node GKE yang Terlindungi

ID kontrol Google GKE-CO-1.4
Penerapan Wajib
Deskripsi

Aktifkan Shielded GKE Node untuk verifikasi kriptografis node di cluster Anda. Shielded GKE Node memberikan identitas dan integritas node yang kuat serta dapat diverifikasi. Aktifkan Node GKE yang Terlindungi saat membuat atau mengupdate cluster. Jika memungkinkan, gunakan Shielded GKE Node dengan Booting Aman untuk juga mengautentikasi komponen booting VM node Anda selama proses booting. Jangan gunakan booting aman jika Anda memerlukan modul kernel pihak ketiga yang tidak ditandatangani.

Node GKE yang Terlindungi diaktifkan secara default saat Anda membuat cluster.

Produk yang berlaku

GKE

Kontrol NIST-800-53 terkait
  • AC-3
  • AC-4
  • AC-17
  • SC-7
Informasi terkait

Menggunakan Container-Optimized OS dengan runtime containerd

ID kontrol Google GKE-CO-1.5
Penerapan Wajib
Deskripsi

Gunakan Container-Optimized OS untuk menerapkan OS container yang telah melalui proses hardening dan dikelola. Sistem operasi serbaguna mencakup banyak program tambahan yang tidak diperlukan untuk menjalankan container dan oleh karena itu menciptakan target yang lebih besar dan tidak perlu bagi penyerang. Container-Optimized OS adalah sistem operasi minimalis dan terkunci yang secara signifikan mengurangi permukaan serangan ini dengan hanya menyertakan apa yang diperlukan. Sebagai OS terkelola, Container-Optimized OS juga memiliki patch keamanan yang diterapkan secara otomatis oleh Google, yang membantu memastikan kerentanan penting diperbaiki dan mengurangi beban kerja operasional Anda.

Image yang menyertakan Container-Optimized OS dengan containerd (cos_containerd) memiliki containerd sebagai runtime container utama yang terintegrasi langsung dengan Kubernetes. containerd adalah komponen runtime inti Docker dan dirancang untuk memberikan fungsionalitas container inti untuk Antarmuka Runtime Container (CRI) Kubernetes. containerd jauh lebih sederhana daripada daemon Docker yang lengkap, sehingga memiliki permukaan serangan yang lebih kecil.

Produk yang berlaku

Container-Optimized OS

Kontrol NIST-800-53 terkait
  • CM-7
  • SC-7
  • SC-38
  • SI-2
  • SI-7
Kontrol profil CRI terkait
  • PR.PT-3.1
Informasi terkait

Menggunakan Workload Identity Federation for GKE

ID kontrol Google GKE-CO-1.6
Penerapan Wajib
Deskripsi

Gunakan Workload Identity Federation for GKE untuk melakukan autentikasi ke Google Cloud API secara aman dari beban kerja Google Kubernetes Engine (GKE). Workload Identity Federation for GKE memberikan alternatif yang lebih sederhana dan aman untuk menggunakan kunci akun layanan.

Produk yang berlaku

GKE

Kontrol NIST-800-53 terkait
  • IA-2
Kontrol profil CRI terkait
  • PR.AC-1.1
Informasi terkait

Mengaktifkan GKE Sandbox

ID kontrol Google GKE-CO-1.7
Penerapan Wajib
Deskripsi

Gunakan GKE Sandbox untuk memberikan lapisan keamanan tambahan guna membantu mencegah kode yang tidak tepercaya memengaruhi kernel host di node cluster Google Kubernetes Engine (GKE) Anda. GKE Sandbox meningkatkan isolasi workload untuk workload yang tidak tepercaya atau sensitif, sehingga memberikan lapisan perlindungan tambahan terhadap serangan container escape.

Produk yang berlaku

GKE

Kontrol NIST-800-53 terkait
  • SC-39
Kontrol profil CRI terkait
  • PR.DS-1.1
Informasi terkait

Menonaktifkan port hanya baca kubelet

ID kontrol Google GKE-CO-1.9
Penerapan Wajib
Deskripsi

Nonaktifkan port hanya baca kubelet 10255 dan gunakan port 10250 yang lebih aman. Kubernetes tidak melakukan pemeriksaan autentikasi atau otorisasi apa pun di port ini. Kubelet melayani endpoint yang sama di port 10250 yang lebih aman dan diautentikasi.

Anda hanya dapat menonaktifkan port kubelet hanya baca yang tidak aman di GKE versi 1.26.4-gke.500 atau yang lebih baru.

Produk yang berlaku

GKE

Kontrol NIST-800-53 terkait
  • AC-3
  • SC-7
Informasi terkait

Menggunakan namespace dan RBAC untuk membatasi akses ke resource cluster

ID kontrol Google GKE-CO-1.10
Penerapan Wajib
Deskripsi

Buat namespace atau cluster terpisah untuk setiap tim dan lingkungan guna menerapkan akses hak istimewa terendah ke Kubernetes. Tetapkan pusat biaya dan label yang sesuai ke setiap namespace untuk akuntabilitas dan penagihan balik. Hanya berikan tingkat akses secukupnya kepada developer agar dapat mengakses namespace untuk men-deploy dan mengelola aplikasi mereka, terutama dalam produksi. Petakan tugas yang perlu dilakukan pengguna terhadap cluster dan tentukan izin yang diperlukan untuk melakukan setiap tugas.

Tetapkan peran Identity and Access Management (IAM) yang sesuai untuk Google Kubernetes Engine (GKE) kepada grup dan pengguna untuk memberikan izin di tingkat project dan gunakan RBAC untuk memberikan izin di tingkat cluster dan namespace.

Produk yang berlaku
  • GKE
  • IAM
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-4
  • AC-6
Informasi terkait

Membatasi traffic di antara pod

ID kontrol Google GKE-CO-1.11
Penerapan Wajib
Deskripsi

Secara default, semua pod dalam cluster dapat saling berkomunikasi. Kontrol komunikasi antar-pod sesuai dengan kebutuhan workload Anda. Membatasi akses jaringan ke layanan dapat mempersempit ruang gerak penyerang dalam cluster Anda, dan juga memberikan perlindungan tambahan terhadap denial of service baik yang disengaja maupun tidak.

Ada dua cara untuk mengontrol traffic:

  • Gunakan Cloud Service Mesh atau Istio untuk load balancing, otorisasi layanan, throttling, kuota, metrik, dan lainnya.
  • Gunakan kebijakan jaringan Kubernetes. Pilih opsi ini jika Anda memerlukan fungsionalitas kontrol akses dasar yang diekspos oleh Kubernetes.
Produk yang berlaku

GKE

Kontrol NIST-800-53 terkait
  • AC-3
  • AC-4
  • SC-7
Informasi terkait

Menggunakan pengontrol penerimaan untuk menerapkan kebijakan

ID kontrol Google GKE-CO-1.12
Penerapan Wajib
Deskripsi

Pengontrol penerimaan adalah plugin yang mengatur dan menerapkan cara penggunaan cluster. Aktifkan plugin ini agar dapat menggunakan beberapa fitur keamanan lanjutan di Kubernetes karena plugin ini merupakan bagian penting dari pendekatan pertahanan yang mendalam untuk melakukan hardening pada cluster Anda. Secara default, pod di Kubernetes dapat beroperasi dengan kemampuan melebihi yang dibutuhkan. Gunakan kontrol penerimaan untuk membatasi kemampuan pod hanya pada yang diperlukan untuk workload tersebut.

GKE mendukung banyak kontrol untuk membatasi pod Anda agar dijalankan dengan kemampuan yang diberikan secara eksplisit. Misalnya, Pengontrol Kebijakan tersedia untuk cluster dalam fleet. Kubernetes juga memiliki pengontrol penerimaan PodSecurity bawaan yang memungkinkan Anda menerapkan Standar Keamanan Pod untuk tiap-tiap cluster. Pengontrol Kebijakan adalah fitur GKE yang memungkinkan Anda menerapkan dan memvalidasi keamanan pada cluster GKE dalam skala besar menggunakan kebijakan deklaratif.

Produk yang berlaku

GKE

Kontrol NIST-800-53 terkait
  • CM-2
  • CM-3
  • CM-6
  • CM-7
Informasi terkait

Membatasi kemampuan workload dalam modifikasi mandiri

ID kontrol Google GKE-CO-1.13
Penerapan Wajib
Deskripsi

Workload Kubernetes tertentu, terutama workload sistem, memiliki izin untuk menjalankan modifikasi mandiri. Sebagai contoh, beberapa workload melakukan penskalaan otomatis secara vertikal. Meskipun berguna, modifikasi mandiri dapat memungkinkan penyerang yang telah menyusupi node untuk menjelajahi cluster lebih dalam lagi. Misalnya, penyerang dapat membuat workload pada node melakukan modifikasi mandiri untuk dijalankan sebagai akun layanan dengan hak istimewa yang berada di namespace yang sama.

Jangan berikan izin kepada workload untuk melakukan modifikasi mandiri secara default. Jika memerlukan modifikasi mandiri, batasi izin dengan menerapkan batasan Pemilah Komunikasi atau Pengontrol Kebijakan, seperti NoUpdateServiceAccount dari library open source Pemilah Komunikasi, yang memberikan beberapa solusi keamanan bermanfaat.

Saat Anda men-deploy kebijakan, izinkan pengontrol yang mengelola siklus proses cluster untuk mengabaikan kebijakan tersebut. Pengontrol harus membuat perubahan pada cluster, seperti menerapkan upgrade cluster. Misalnya, jika Anda men-deploy kebijakan NoUpdateServiceAccount di GKE, Anda harus menetapkan parameter berikut dalam batasan:

parameters: allowedGroups: - system:masters allowedUsers: - system:addon-manager
Produk yang berlaku

GKE

Kontrol NIST-800-53 terkait
  • AC-3
  • CM-3
  • SI-7
Informasi terkait

Memantau konfigurasi cluster Anda

ID kontrol Google GKE-CO-1.14
Penerapan Wajib
Deskripsi

Audit konfigurasi cluster Anda untuk menemukan penyimpangan dari setelan yang ditentukan. Setelan yang dibahas dalam praktik terbaik ini, serta kesalahan konfigurasi umum lainnya, dapat diperiksa secara otomatis menggunakan Security Command Center.

Produk yang berlaku
  • GKE
  • Security Command Center
Kontrol NIST-800-53 terkait
  • SI-4
  • SI-5
  • RA-5
Informasi terkait

Menerapkan Otorisasi Biner

ID kontrol Google BIN-CO-1.1
Penerapan Wajib
Deskripsi

Gunakan Otorisasi Biner untuk memastikan image tepercaya di-deploy ke Google Kubernetes Engine (GKE) dan Cloud Run. Otorisasi Biner membantu memastikan bahwa hanya image container terverifikasi dan tepercaya yang dapat di-deploy di cluster Anda, sehingga memperkuat keamanan supply chain software.

Produk yang berlaku
  • GKE
  • Otorisasi Biner
  • Cloud Run
Jalur constraints/binaryauthorization.requireBinauthz
Operator ==
Nilai

True

Kontrol NIST-800-53 terkait
  • SI-7
Kontrol profil CRI terkait
  • PR.DS-6.1
Informasi terkait

Menggunakan Autopilot GKE

Penerapan Wajib
Deskripsi

Gunakan cluster Autopilot Google Kubernetes Engine (GKE). Cluster Autopilot menawarkan langkah-langkah keamanan yang kuat, dengan banyak praktik terbaik keamanan untuk container atau GKE yang diaktifkan secara default.

Produk yang berlaku

GKE

Jalur container.clusters/autopilot.enabled
Operator Adalah
Nilai

True

Jenis Boolean
Kontrol NIST-800-53 terkait
  • CM-2
Kontrol profil CRI terkait
  • PR.IP-1.1
Informasi terkait

Menggunakan akun dengan hak istimewa terendah untuk cluster dan node GKE

Penerapan Wajib
Deskripsi

Gunakan akun layanan Identity and Access Management (IAM) dengan hak istimewa terendah untuk cluster dan node Google Kubernetes Engine (GKE). Akses ke bidang kontrol GKE dibatasi ke satu endpoint berbasis DNS. Menerapkan hak istimewa terendah akan mengurangi permukaan serangan secara signifikan tanpa memerlukan aturan firewall tambahan atau host bastion.

Produk yang berlaku

GKE

Jalur container.clusters/nodeConfig.serviceAccount
Operator !=
Nilai

default

Jenis String
Kontrol NIST-800-53 terkait
  • AC-6
Kontrol profil CRI terkait
  • PR.AC-4.1
Informasi terkait

Menggunakan node GKE pribadi

Penerapan Wajib
Deskripsi

Buat node pribadi untuk mengurangi eksposur internet. Node Google Kubernetes Engine (GKE) pribadi membantu mengurangi eksposur internet dengan memastikan node GKE tidak memiliki alamat IP publik.

Produk yang berlaku

GKE

Jalur container.clusters/networkConfig.defaultEnablePrivateNodes
Operator Adalah
Nilai

True

Jenis Boolean
Kontrol NIST-800-53 terkait
  • SC-7
Kontrol profil CRI terkait
  • PR.AC-3.1
Informasi terkait

Menggunakan Confidential Google Kubernetes Engine Nodes

Penerapan Wajib
Deskripsi

Gunakan Confidential GKE Node untuk menerapkan enkripsi data aktif di node dan workload Anda. Confidential GKE Node membantu mengamankan workload yang sangat sensitif dengan mengenkripsi data yang sedang digunakan melalui confidential computing.

Produk yang berlaku

Google Kubernetes Engine (GKE)

Jalur container.clusters/confidentialNodes.enabled
Operator Adalah
Nilai

True

Jenis Boolean
Kontrol NIST-800-53 terkait
  • SC-28
Kontrol profil CRI terkait
  • PR.DS-1.1
Informasi terkait

Menjalankan certificate authority kustom di GKE

Penerapan Wajib
Deskripsi

Jalankan otoritas sertifikat Anda sendiri untuk mengelola kunci dalam Google Kubernetes Engine (GKE). Menggunakan otoritas sertifikat Anda sendiri memberikan kontrol yang lebih besar atas operasi kriptografi. Untuk meminta akses ke fitur ini, hubungi Google Cloud tim akun Anda.

Produk yang berlaku

GKE

Jalur container.clusters/userManagedKeysConfig.clusterCa
Operator Disetel
Jenis String
Kontrol NIST-800-53 terkait
  • SC-12
Kontrol profil CRI terkait
  • PR.DS-1.1
Informasi terkait

Enkripsi Secret Kubernetes menggunakan Cloud KMS

Penerapan Wajib
Deskripsi

Enkripsi Secret Kubernetes dalam penyimpanan menggunakan kunci yang dikelola Cloud Key Management Service (Cloud KMS). Cloud KMS memberikan lapisan keamanan tambahan untuk data etcd dengan memungkinkan Anda mengenkripsi Secret Kubernetes dengan kunci yang Anda miliki dan kelola.

Produk yang berlaku
  • GKE
  • Cloud KMS
Jalur container.clusters/databaseEncryption.keyName
Operator Disetel
Jenis String
Kontrol NIST-800-53 terkait
  • SC-28
Kontrol profil CRI terkait
  • PR.DS-1.1
Informasi terkait

Menggunakan CMEK untuk boot disk node

Penerapan Wajib
Deskripsi

Gunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk enkripsi boot disk node. CMEK memungkinkan Anda mengenkripsi boot disk node Kubernetes dengan kunci yang Anda miliki dan kelola.

Produk yang berlaku
  • Cloud Key Management Service
  • GKE
Jalur container.clusters/nodeConfig.bootDiskKmsKey
Operator Disetel
Jenis String
Kontrol NIST-800-53 terkait
  • SC-28
Kontrol profil CRI terkait
  • PR.DS-1.1
Informasi terkait

Kontrol VMware Engine

Membatasi penetapan peran Admin untuk VMware Engine

ID kontrol Google GCVE-CO-3.1
Penerapan Wajib
Deskripsi

Hanya berikan peran Admin kepada akun layanan yang men-deploy dan mengonfigurasi cloud pribadi Google Cloud VMware Engine dan kepada sejumlah kecil administrator. Biasanya, penambahan atau penghapusan cluster dan node secara manual adalah tindakan yang tidak sering terjadi dan mungkin berdampak besar pada penagihan atau ketersediaan cluster.

Pastikan untuk mengaudit secara rutin siapa yang telah diberi peran Admin Layanan VMware Engine, baik secara langsung di project yang digunakan untuk VMware Engine atau di salah satu tingkat induk hierarki resource. Audit ini harus mencakup peran lain, seperti peran Editor dan Pemilik dasar yang mencakup izin penting terkait VMware Engine. Anda dapat menggunakan layanan seperti pemberi rekomendasi peran IAM untuk membantu mengidentifikasi peran yang memiliki terlalu banyak hak istimewa.

Produk yang berlaku
  • VMware Engine
  • IAM
Kontrol NIST-800-53 terkait
  • AC-2
  • AC-3
  • AC-6
Kontrol profil CRI terkait
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
Informasi terkait

Menggunakan peran VMware Engine Service Viewer untuk hak istimewa terendah

ID kontrol Google GCVE-CO-3.3
Penerapan Wajib
Deskripsi

Berikan peran Pelihat Layanan VMware Engine kepada pengguna secara default, dan hanya jika diperlukan. Peran Pelihat Layanan VMware Engine memberikan akses hanya baca ke Google Cloud VMware Engine di Google Cloud dan dirancang agar cukup untuk sebagian besar tugas.

Produk yang berlaku
  • VMware Engine
  • IAM
Kontrol NIST-800-53 terkait
  • AC-2
  • AC-3
  • AC-6
Kontrol profil CRI terkait
  • PR.AC-4.1
  • PR.AC-4.3
  • PR.AC-6.1
Informasi terkait

Menggunakan RBAC dan hak istimewa terendah untuk peran vCenter Server Appliance

ID kontrol Google GCVE-CO-3.4
Penerapan Wajib
Deskripsi

Saat memberikan peran tingkat VMware di vCenter Server Appliance, gunakan kontrol akses berbasis peran (RBAC) dan prinsip hak istimewa terendah.

Produk yang berlaku

VMware Engine

Kontrol NIST-800-53 terkait
  • AC-2
  • AC-3
  • AC-6
Kontrol profil CRI terkait
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
Informasi terkait

Menggunakan identity federation untuk pengguna VMware

ID kontrol Google GCVE-CO-3.5
Penerapan Wajib
Deskripsi

Mempertahankan solusi identitas tunggal tempat Anda dapat menyediakan dan mengelola akun pengguna. Praktik yang direkomendasikan ini memungkinkan Anda memusatkan aktivitas seperti pengelolaan siklus proses identitas, pengelolaan grup, dan pengelolaan sandi. Hindari pembuatan strategi identitas yang terpecah-pecah.

Produk yang berlaku

VMware Engine

Kontrol NIST-800-53 terkait
  • AC-2
  • AC-3
Kontrol profil CRI terkait
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
Informasi terkait

Memberikan peran ke grup, bukan individu untuk vCenter Server Appliance

ID kontrol Google GCVE-CO-3.6
Penerapan Wajib
Deskripsi

Saat memberikan peran tingkat VMware di vCenter Server Appliance, berikan peran kepada grup yang Anda buat di penyedia identitas Anda. Jangan membuat strategi identitas yang terpecah-pecah.

Produk yang berlaku

VMware Engine

Kontrol NIST-800-53 terkait
  • AC-2
  • AC-3
  • AC-6
Kontrol profil CRI terkait
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-6.1
Informasi terkait

Jangan tetapkan Cloud-Owner-Role ke grup pengguna di vSphere

ID kontrol Google GCVE-CO-3.7
Penerapan Wajib
Deskripsi

Saat membuat grup pengguna di vSphere, jangan tetapkan Cloud-Owner-Role. Peran ini memberikan kontrol administratif atas lingkungan vCenter cloud pribadi Anda sekaligus membatasi izin infrastruktur global yang mendasarinya. Grup pengguna dengan izin yang lebih tinggi daripada Cloud-Owner-Role akan otomatis direset ke Cloud-Owner-Role.

Produk yang berlaku

VMware Engine

Kontrol NIST-800-53 terkait
  • AC-2
  • AC-3
  • AC-6
Kontrol profil CRI terkait
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
Informasi terkait

Hindari penggunaan akun layanan vCenter dan NSX-T default

ID kontrol Google GCVE-CO-3.8
Penerapan Wajib
Deskripsi

Kecuali untuk proses konfigurasi awal dan dalam prosedur darurat, jangan gunakan akun layanan vCenter default (CloudOwner@gve.local) dan administrator akun layanan NSX-T default (admin). Akun layanan default ini mencakup izin yang kuat seperti Cloud-Owner-Role dan Enterprise Admin. Simpan kredensial untuk akun layanan ini di Secret Manager.

Produk yang berlaku

VMware Engine

Kontrol NIST-800-53 terkait
  • AC-2
  • IA-2
  • SC-28
Kontrol profil CRI terkait
  • PR.AC-1.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
Informasi terkait

Rotasi sandi untuk akun layanan vCenter dan NSX-T default setiap 90 hari

ID kontrol Google GCVE-CO-3.9
Penerapan Wajib
Deskripsi

Untuk mencegah dan memitigasi pengungkapan kredensial yang tidak sah untuk akun layanan vCenter default (CloudOwner@gve.local) dan administrator akun layanan NSX-T default (admin), ganti sandi mereka setiap 90 hari.

Produk yang berlaku

VMware Engine

Kontrol NIST-800-53 terkait
  • AC-2
Kontrol profil CRI terkait
  • PR.AC-1.2
Informasi terkait

Menggunakan NSX Gateway Firewall untuk menyegmentasikan traffic utara-selatan

ID kontrol Google GCVE-CO-1.2
Penerapan Wajib
Deskripsi

Kontrol traffic jaringan utara-selatan yang masuk dan keluar dari cloud pribadi Anda menggunakan NSX Gateway Firewall. Firewall Gateway NSX adalah firewall utara-selatan yang membantu melindungi perimeter.

Produk yang berlaku

VMware Engine

Kontrol NIST-800-53 terkait
  • AC-4
  • SC-7
Kontrol profil CRI terkait
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.PT-4.1
Informasi terkait

Menggunakan Firewall Terdistribusi NSX untuk menyegmentasikan traffic timur-barat

ID kontrol Google GCVE-CO-1.3
Penerapan Wajib
Deskripsi

Kontrol traffic jaringan timur-barat dalam cloud pribadi Anda menggunakan Firewall Terdistribusi (DFW) NSX. Secara default, semua subnet dapat berkomunikasi satu sama lain. Gunakan DFW untuk menentukan traffic yang diizinkan antara aplikasi dan layanan di dalam aplikasi Anda.

Produk yang berlaku

VMware Engine

Kontrol NIST-800-53 terkait
  • AC-4
  • SC-7
Kontrol profil CRI terkait
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.PT-4.1
Informasi terkait

Buat subnet terpisah untuk workload dengan persyaratan keamanan yang berbeda

ID kontrol Google GCVE-CO-1.4
Penerapan Wajib
Deskripsi

Jika Anda menjalankan beban kerja yang memiliki persyaratan keamanan atau klasifikasi data yang berbeda, buat subnet beban kerja untuk memisahkannya. Subnet memungkinkan Anda mengurangi potensi dampak kerusakan dengan tidak mencampur workload dengan persyaratan dan postur keamanan yang berbeda-beda.

Produk yang berlaku

VMware Engine

Kontrol NIST-800-53 terkait
  • AC-4
  • AC-20
  • SC-7
Kontrol profil CRI terkait
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.PT-4.1
Informasi terkait

Membuat sink log untuk menyimpan log audit VMware Engine

ID kontrol Google GCVE-CO-4.1
Penerapan Wajib
Deskripsi

Gunakan sink log untuk menyimpan log audit API Google Cloud VMware Engine. Anda dapat merutekan log audit ke tujuan yang berbeda sesuai kebutuhan.

Produk yang berlaku

VMware Engine

Kontrol NIST-800-53 terkait
  • AU-2
  • AU-3
  • AU-6
  • AU-7
Kontrol profil CRI terkait
  • PR.IP-1.4
  • DM.ED-7.1
Informasi terkait

Mengumpulkan log platform tingkat VMware

ID kontrol Google GCVE-CO-4.2
Penerapan Wajib
Deskripsi

Untuk mengumpulkan log platform tingkat VMware (misalnya, pesan syslog vCenter dan NSX-T), konfigurasi cloud pribadi Google Cloud VMware Engine untuk meneruskan log syslog ke pengumpul log terpusat. Log ini tidak dikumpulkan dalam log audit VMware Engine dan harus dikumpulkan secara terpisah.

Produk yang berlaku

VMware Engine

Kontrol NIST-800-53 terkait
  • AU-2
  • AU-3
  • AU-6
  • AU-7
Kontrol profil CRI terkait
  • PR.IP-1.4
  • DM.ED-7.1
Informasi terkait

Memantau aplikasi menggunakan Logging dan Monitoring

ID kontrol Google GCVE-CO-4.3
Penerapan Wajib
Deskripsi

Instal agen mandiri untuk mengaktifkan Cloud Logging dan Cloud Monitoring dari platform VMware vSphere. Agen mandiri memungkinkan Anda mengumpulkan log tingkat beban kerja dan mengirimkannya ke Logging dan Monitoring untuk dianalisis dan disimpan.

Produk yang berlaku
  • VMware Engine
  • Logging
  • Cloud Monitoring
Kontrol NIST-800-53 terkait
  • AU-2
  • AU-3
  • AU-6
  • AU-7
Kontrol profil CRI terkait
  • PR.IP-1.4
  • DM.ED-7.1
Informasi terkait

Buat cloud pribadi di region yang sesuai dengan persyaratan residensi data Anda

ID kontrol Google GCVE-CO-2.1
Penerapan Wajib
Deskripsi

Buat cloud pribadi Google Cloud VMware Engine di region yang sesuai dengan persyaratan residensi data organisasi Anda. Cloud pribadi adalah resource yang disediakan dalam jangka panjang yang tidak mudah di-deploy dan dipindahkan.

Produk yang berlaku

VMware Engine

Kontrol NIST-800-53 terkait
  • CP-2
  • SC-7
  • SC-32
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informasi terkait

Menerapkan strategi pencadangan dan pemulihan dari bencana

ID kontrol Google GCVE-CO-5.1
Penerapan Wajib
Deskripsi

Menerapkan Backup and DR Service atau solusi pencadangan pihak ketiga untuk beban kerja. Secara default, Google Cloud VMware Engine hanya mencadangkan konfigurasi vCenter dan NSX secara otomatis. Backup and DR mempermudah pencadangan dan pemulihan VM.

Produk yang berlaku
  • VMware Engine
  • Backup and DR
Kontrol NIST-800-53 terkait
  • CP-2
  • CP-6
  • CP-9
  • CP-10
Kontrol profil CRI terkait
  • PR.IP-4.1
  • PR.IP-4.2
Informasi terkait

Menerapkan enkripsi tingkat aplikasi untuk workload VMware

ID kontrol Google GCVE-CO-1.1
Penerapan Wajib
Deskripsi

Pastikan aplikasi yang berjalan di Google Cloud VMware Engine mengenkripsi traffic-nya. VMware Engine tidak mengenkripsi traffic workload dalam pengiriman.

Produk yang berlaku

VMware Engine

Kontrol NIST-800-53 terkait
  • SC-8
  • SC-13
Kontrol profil CRI terkait
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informasi terkait

Mengaktifkan enkripsi data saat transit di cluster VMware vSAN

ID kontrol Google GCVE-CO-2.3
Penerapan Wajib
Deskripsi

Aktifkan enkripsi data dalam pengiriman pada cluster VMware vSAN untuk mengenkripsi data, metadata, dan traffic layanan file.

Produk yang berlaku

VMware Engine

Kontrol NIST-800-53 terkait
  • SC-8
Kontrol profil CRI terkait
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informasi terkait

Mengonfigurasi enkripsi data dalam penyimpanan vSAN untuk menggunakan CMEK

ID kontrol Google GCVE-CO-2.2
Penerapan Wajib
Deskripsi

Jika diwajibkan oleh lingkungan peraturan Anda, konfigurasikan enkripsi data dalam penyimpanan vSAN untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK).

Produk yang berlaku
  • VMware Engine
  • Cloud KMS
Kontrol NIST-800-53 terkait
  • SC-12
  • SC-28
Kontrol profil CRI terkait
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-5.1
Informasi terkait

Merotasi kunci yang digunakan untuk enkripsi data dalam penyimpanan vSAN

ID kontrol Google GCVE-CO-2.4
Penerapan Wajib
Deskripsi

Mengelola siklus proses kunci enkripsi kunci (KEK) yang Anda gunakan untuk enkripsi data dalam penyimpanan vSAN. Terapkan prosedur rotasi kunci yang sesuai dengan persyaratan organisasi Anda.

Produk yang berlaku
  • VMware Engine
  • Cloud KMS
Kontrol NIST-800-53 terkait
  • SC-12
Kontrol profil CRI terkait
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-5.1
Informasi terkait

Langkah berikutnya