Dokumen ini mencakup praktik terbaik dan panduan untuk Google Cloud layanan seperti Compute Engine, Google Kubernetes Engine (GKE), Pub/Sub, Dataflow, dan Cloud Run Functions saat menjalankan workload di Google Cloud.
Kontrol komputasi
Kontrol ini berlaku untuk layanan komputasi.
Menentukan instance VM yang dapat mengaktifkan penerusan IP
| ID kontrol Google | VPC-CO-6.3 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Batasan
compute.vmCanIpForward menentukan instance VM yang dapat mengaktifkan penerusan IP. Secara default, semua VM dapat mengaktifkan penerusan IP di jaringan virtual mana pun. Tentukan instance VM menggunakan salah satu format berikut:
|
| Produk yang berlaku |
|
| Jalur | constraints/compute.vmCanIpForward |
| Operator | = |
| Nilai |
|
| Jenis | Daftar |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menonaktifkan virtualisasi bertingkat VM
| ID kontrol Google | VPC-CO-6.6 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Batasan boolean
compute.disableNestedVirtualization menonaktifkan virtualisasi bertingkat dengan akselerasi hardware untuk VM Compute Engine. |
| Produk yang berlaku |
|
| Jalur | constraints/compute.disableNestedVirtualization |
| Operator | Adalah |
| Nilai |
|
| Jenis | Boolean |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Membatasi alamat IP eksternal pada VM
| ID kontrol Google | VPC-CO-6.2 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Kecuali jika diperlukan, cegah pembuatan instance Compute Engine dengan alamat IP publik. Batasan daftar Mencegah instance Compute Engine memiliki alamat IP eksternal untuk mengurangi eksposur instance tersebut ke internet secara drastis. Setiap instance dengan alamat IP eksternal dapat langsung ditemukan dan menjadi target langsung untuk pemindaian otomatis, serangan brute force, dan upaya untuk mengeksploitasi kerentanan. Sebagai gantinya, mewajibkan instance menggunakan alamat IP pribadi dan mengelola akses melalui jalur yang terkontrol, diautentikasi, dan dicatat seperti tunnel Identity-Aware Proxy (IAP) atau bastion host. Mengadopsi postur tolak secara default ini adalah praktik terbaik keamanan dasar yang membantu meminimalkan permukaan serangan Anda dan menerapkan pendekatan zero-trust ke jaringan Anda. Batasan ini tidak berlaku surut. |
| Produk yang berlaku |
|
| Jalur | constraints/compute.vmExternalIpAccess |
| Operator | = |
| Nilai |
|
| Jenis | Daftar |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menentukan alamat IP eksternal yang diizinkan untuk instance VM
| ID kontrol Google | CBD-CO-6.3 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Batasan daftar |
| Produk yang berlaku |
|
| Jalur | compute.vmExternalIpAccess |
| Operator | = |
| Nilai |
|
| Jenis | Daftar |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menonaktifkan akses port serial VM
| Penerapan | Wajib |
|---|---|
| Deskripsi | Nonaktifkan akses port serial dengan menetapkan batasan kebijakan organisasi Menonaktifkan akses port serial membantu menerapkan postur keamanan pertahanan mendalam dengan mewajibkan semua akses administratif melalui jalur standar yang diaudit seperti SSH, yang dapat Anda lindungi dengan mengaktifkan Identity and Access Management (IAM) dan Identity-Aware Proxy (IAP). |
| Produk yang berlaku |
Compute Engine |
| Jalur | constraints/compute.disableSerialPortAccess |
| Operator | = |
| Nilai |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mewajibkan konektor VPC untuk fungsi Cloud Run
| ID kontrol Google | CF-CO-4.4 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Batasan boolean |
| Produk yang berlaku |
|
| Jalur | constraints/cloudfunctions.requireVPCConnector |
| Operator | = |
| Nilai |
|
| Jenis | Boolean |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengaktifkan fitur Shielded VM
| Penerapan | Wajib |
|---|---|
| Deskripsi | Aktifkan atribut virtual trusted platform module (vTPM) dan pemantauan integritas Shielded VM untuk instance Anda. Atribut vTPM dan pemantauan integritas adalah bagian dari proses pembuatan instance VM default. Gunakan atribut vTPM dan pemantauan integritas Shielded VM untuk membantu memastikan bahwa VM Anda hanya melakukan booting dengan kode tepercaya yang tidak dimodifikasi. vTPM menyediakan kriptoprosesor virtual yang aman yang menghasilkan dan menyimpan pengukuran kriptografi dari seluruh urutan booting, mulai dari firmware UEFI hingga driver kernel. Pemantauan integritas kemudian terus-menerus membandingkan pengukuran runtime ini dengan dasar pengukuran yang diketahui baik yang ditetapkan saat VM pertama kali dibuat. Fitur ini menyediakan rantai kepercayaan yang dapat diverifikasi dan secara otomatis memberi tahu Anda atau mengambil tindakan jika mendeteksi modifikasi berbahaya, seperti yang berasal dari bootkit atau rootkit. Fitur Shielded VM membantu menjaga integritas workload Anda sejak instance diaktifkan. |
| Produk yang berlaku |
Compute Engine |
| Jalur | compute.instances/shieldedInstanceConfig.enableVtpm |
| Operator | Adalah |
| Nilai |
|
| Jenis | Boolean |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menerapkan Login OS untuk VM
| Penerapan | Wajib |
|---|---|
| Deskripsi | Jika Anda mengizinkan developer mengakses resource Compute Engine menggunakan SSH, konfigurasi Login OS dengan verifikasi 2 langkah. Gunakan Login OS untuk mengelola kunci SSH dengan kebijakan Identity and Access Management (IAM) dengan menetapkan batasan kebijakan organisasi Mengaitkan izin SSH dengan identitas pengguna sangat penting untuk keamanan karena menghapus peran IAM pengguna akan langsung mencabut aksesnya di semua instance, sehingga melindungi dari entri yang tidak sah dari akun yang tidak aktif. Sistem ini menyederhanakan pengelolaan kunci untuk membantu mencegah penumpukan kunci dan menyediakan jejak audit yang jelas dan terpusat untuk semua peristiwa login di Cloud Audit Logs. Login OS juga memungkinkan Anda menerapkan autentikasi 2 langkah, yang menambahkan lapisan perlindungan penting terhadap kredensial dan kunci SSH yang dicuri. Penyerang yang memiliki token OAuth yang telah disusupi tetapi tidak memiliki sandi atau kunci keamanan akan diblokir oleh fitur ini. Akses Remote Desktop Protocol (RDP) ke instance Windows di Compute Engine tidak mendukung layanan Login OS, sehingga verifikasi 2 langkah tidak dapat diterapkan secara terperinci untuk sesi RDP. Saat menggunakan IAP Desktop atau plugin RDP berbasis Google Chrome, setel kontrol terperinci seperti durasi sesi untuk layanan Google dan setelan verifikasi 2 langkah untuk sesi web pengguna serta nonaktifkan setelan Izinkan pengguna mempercayai perangkat di bagian verifikasi 2 langkah. |
| Produk yang berlaku |
Compute Engine |
| Jalur | compute.projects/commonInstanceMetadata.items |
| Operator | Adalah |
| Nilai |
|
| Jenis | Boolean |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengonfigurasi kebijakan penyimpanan pesan
| ID kontrol Google | PS-CO-4.1 |
|---|---|
| Penerapan | Opsional |
| Deskripsi | Jika Anda memublikasikan pesan ke endpoint Pub/Sub global, Pub/Sub akan otomatis menyimpan pesan di region Google Cloud terdekat. Untuk mengontrol region tempat pesan Anda disimpan, konfigurasi kebijakan penyimpanan pesan di topik Anda.
Gunakan salah satu cara berikut untuk mengonfigurasi kebijakan penyimpanan pesan untuk topik:
|
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menonaktifkan alamat IP eksternal untuk tugas Dataflow
| ID kontrol Google | DF-CO-6.1 |
|---|---|
| Penerapan | Opsional |
| Deskripsi | Nonaktifkan alamat IP eksternal untuk tugas administratif dan pemantauan yang terkait dengan tugas Dataflow. Sebagai gantinya, konfigurasi akses ke VM pekerja Dataflow Anda menggunakan SSH. Aktifkan Akses Google Pribadi dan tentukan salah satu opsi berikut dalam tugas Dataflow Anda:
Dengan:
|
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menggunakan tag jaringan untuk aturan firewall
| ID kontrol Google | DF-CO-6.2 |
|---|---|
| Penerapan | Opsional |
| Deskripsi | Tag jaringan adalah atribut teks yang terpasang ke VM Compute Engine seperti VM pekerja Dataflow. Dengan tag jaringan, Anda dapat membuat aturan firewall jaringan VPC dan beberapa rute statis kustom yang berlaku untuk instance VM tertentu. Dataflow mendukung penambahan tag jaringan ke semua VM pekerja yang menjalankan tugas Dataflow tertentu. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Kontrol penampung
Kontrol ini berlaku untuk container dalam GKE.
Membatasi akses bidang kontrol
| ID kontrol Google | GKE-CO-1.1 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Secara default, bidang kontrol dan node cluster Google Kubernetes Engine (GKE) memiliki alamat yang dapat dirutekan di internet dan dapat diakses dari alamat IP apa pun. Batasi akses jaringan ke bidang kontrol dengan menggunakan endpoint berbasis DNS dan dengan membuat cluster pribadi. Bidang kontrol adalah pusat pengelolaan untuk cluster Kubernetes, dan mengeksposnya ke internet menjadikannya target utama bagi penyerang. Konfigurasi ini membuat bidang kontrol bersifat pribadi dan menghapusnya dari internet. Membatasi akses bidang kontrol membantu memastikan bahwa hanya perangkat tepercaya dalam jaringan pribadi organisasi Anda yang dapat mengelola cluster, sehingga secara drastis mengurangi risiko serangan eksternal. |
| Produk yang berlaku |
GKE |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menggunakan aturan firewall hak istimewa terendah
| ID kontrol Google | GKE-CO-1.2 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Saat Anda membuat aturan firewall, gunakan prinsip hak istimewa terendah guna membatasi akses hanya untuk tujuan yang diperlukan. Pastikan aturan firewall Anda tidak bentrok dengan aturan firewall default GKE jika memungkinkan. |
| Produk yang berlaku |
GKE |
| Kontrol NIST-800-53 terkait |
|
| Informasi terkait |
Menggunakan Google Grup untuk RBAC
| ID kontrol Google | GKE-CO-1.3 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Gunakan Google Grup untuk kontrol akses berbasis peran (RBAC), yang juga memungkinkan Anda berintegrasi dengan praktik pengelolaan akun pengguna yang ada, seperti mencabut akses saat seseorang keluar dari organisasi Anda. Google Grup untuk RBAC membantu memberikan pengelolaan akses cluster yang efisien menggunakan Identity and Access Management (IAM) dan Google Grup, yang cocok untuk sebagian besar organisasi yang menggunakan Google Grup. |
| Produk yang berlaku |
Google Kubernetes Engine (GKE) |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengaktifkan Node GKE yang Terlindungi
| ID kontrol Google | GKE-CO-1.4 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Aktifkan Shielded GKE Node untuk verifikasi kriptografis node di cluster Anda. Shielded GKE Node memberikan identitas dan integritas node yang kuat serta dapat diverifikasi. Aktifkan Node GKE yang Terlindungi saat membuat atau mengupdate cluster. Jika memungkinkan, gunakan Shielded GKE Node dengan Booting Aman untuk juga mengautentikasi komponen booting VM node Anda selama proses booting. Jangan gunakan booting aman jika Anda memerlukan modul kernel pihak ketiga yang tidak ditandatangani. Node GKE yang Terlindungi diaktifkan secara default saat Anda membuat cluster. |
| Produk yang berlaku |
GKE |
| Kontrol NIST-800-53 terkait |
|
| Informasi terkait |
Menggunakan Container-Optimized OS dengan runtime containerd
| ID kontrol Google | GKE-CO-1.5 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Gunakan Container-Optimized OS untuk menerapkan OS container yang telah melalui proses hardening dan dikelola. Sistem operasi serbaguna mencakup banyak program tambahan yang tidak diperlukan untuk menjalankan container dan oleh karena itu menciptakan target yang lebih besar dan tidak perlu bagi penyerang. Container-Optimized OS adalah sistem operasi minimalis dan terkunci yang secara signifikan mengurangi permukaan serangan ini dengan hanya menyertakan apa yang diperlukan. Sebagai OS terkelola, Container-Optimized OS juga memiliki patch keamanan yang diterapkan secara otomatis oleh Google, yang membantu memastikan kerentanan penting diperbaiki dan mengurangi beban kerja operasional Anda. Image yang menyertakan Container-Optimized OS dengan containerd (cos_containerd) memiliki containerd sebagai runtime container utama yang terintegrasi langsung dengan Kubernetes. containerd adalah komponen runtime inti Docker dan dirancang untuk memberikan fungsionalitas container inti untuk Antarmuka Runtime Container (CRI) Kubernetes. containerd jauh lebih sederhana daripada daemon Docker yang lengkap, sehingga memiliki permukaan serangan yang lebih kecil. |
| Produk yang berlaku |
Container-Optimized OS |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menggunakan Workload Identity Federation for GKE
| ID kontrol Google | GKE-CO-1.6 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Gunakan Workload Identity Federation for GKE untuk melakukan autentikasi ke Google Cloud API secara aman dari beban kerja Google Kubernetes Engine (GKE). Workload Identity Federation for GKE memberikan alternatif yang lebih sederhana dan aman untuk menggunakan kunci akun layanan. |
| Produk yang berlaku |
GKE |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengaktifkan GKE Sandbox
| ID kontrol Google | GKE-CO-1.7 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Gunakan GKE Sandbox untuk memberikan lapisan keamanan tambahan guna membantu mencegah kode yang tidak tepercaya memengaruhi kernel host di node cluster Google Kubernetes Engine (GKE) Anda. GKE Sandbox meningkatkan isolasi workload untuk workload yang tidak tepercaya atau sensitif, sehingga memberikan lapisan perlindungan tambahan terhadap serangan container escape. |
| Produk yang berlaku |
GKE |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menonaktifkan port hanya baca kubelet
| ID kontrol Google | GKE-CO-1.9 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Nonaktifkan port hanya baca kubelet 10255 dan gunakan port 10250 yang lebih aman. Kubernetes tidak melakukan pemeriksaan autentikasi atau otorisasi apa pun di port ini. Kubelet melayani endpoint yang sama di port 10250 yang lebih aman dan diautentikasi. Anda hanya dapat menonaktifkan port kubelet hanya baca yang tidak aman di GKE versi 1.26.4-gke.500 atau yang lebih baru. |
| Produk yang berlaku |
GKE |
| Kontrol NIST-800-53 terkait |
|
| Informasi terkait |
Menggunakan namespace dan RBAC untuk membatasi akses ke resource cluster
| ID kontrol Google | GKE-CO-1.10 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Buat namespace atau cluster terpisah untuk setiap tim dan lingkungan guna menerapkan akses hak istimewa terendah ke Kubernetes. Tetapkan pusat biaya dan label yang sesuai ke setiap namespace untuk akuntabilitas dan penagihan balik. Hanya berikan tingkat akses secukupnya kepada developer agar dapat mengakses namespace untuk men-deploy dan mengelola aplikasi mereka, terutama dalam produksi. Petakan tugas yang perlu dilakukan pengguna terhadap cluster dan tentukan izin yang diperlukan untuk melakukan setiap tugas. Tetapkan peran Identity and Access Management (IAM) yang sesuai untuk Google Kubernetes Engine (GKE) kepada grup dan pengguna untuk memberikan izin di tingkat project dan gunakan RBAC untuk memberikan izin di tingkat cluster dan namespace. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Informasi terkait |
Membatasi traffic di antara pod
| ID kontrol Google | GKE-CO-1.11 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Secara default, semua pod dalam cluster dapat saling berkomunikasi. Kontrol komunikasi antar-pod sesuai dengan kebutuhan workload Anda. Membatasi akses jaringan ke layanan dapat mempersempit ruang gerak penyerang dalam cluster Anda, dan juga memberikan perlindungan tambahan terhadap denial of service baik yang disengaja maupun tidak. Ada dua cara untuk mengontrol traffic:
|
| Produk yang berlaku |
GKE |
| Kontrol NIST-800-53 terkait |
|
| Informasi terkait |
Menggunakan pengontrol penerimaan untuk menerapkan kebijakan
| ID kontrol Google | GKE-CO-1.12 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Pengontrol penerimaan adalah plugin yang mengatur dan menerapkan cara penggunaan cluster. Aktifkan plugin ini agar dapat menggunakan beberapa fitur keamanan lanjutan di Kubernetes karena plugin ini merupakan bagian penting dari pendekatan pertahanan yang mendalam untuk melakukan hardening pada cluster Anda. Secara default, pod di Kubernetes dapat beroperasi dengan kemampuan melebihi yang dibutuhkan. Gunakan kontrol penerimaan untuk membatasi kemampuan pod hanya pada yang diperlukan untuk workload tersebut. GKE mendukung banyak kontrol untuk membatasi pod Anda agar dijalankan dengan kemampuan yang diberikan secara eksplisit. Misalnya, Pengontrol Kebijakan tersedia untuk cluster dalam fleet. Kubernetes juga memiliki pengontrol penerimaan PodSecurity bawaan yang memungkinkan Anda menerapkan Standar Keamanan Pod untuk tiap-tiap cluster. Pengontrol Kebijakan adalah fitur GKE yang memungkinkan Anda menerapkan dan memvalidasi keamanan pada cluster GKE dalam skala besar menggunakan kebijakan deklaratif. |
| Produk yang berlaku |
GKE |
| Kontrol NIST-800-53 terkait |
|
| Informasi terkait |
Membatasi kemampuan workload dalam modifikasi mandiri
| ID kontrol Google | GKE-CO-1.13 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Workload Kubernetes tertentu, terutama workload sistem, memiliki izin untuk menjalankan modifikasi mandiri. Sebagai contoh, beberapa workload melakukan penskalaan otomatis secara vertikal. Meskipun berguna, modifikasi mandiri dapat memungkinkan penyerang yang telah menyusupi node untuk menjelajahi cluster lebih dalam lagi. Misalnya, penyerang dapat membuat workload pada node melakukan modifikasi mandiri untuk dijalankan sebagai akun layanan dengan hak istimewa yang berada di namespace yang sama. Jangan berikan izin kepada workload untuk melakukan modifikasi mandiri secara default. Jika memerlukan modifikasi mandiri, batasi izin dengan menerapkan batasan Pemilah Komunikasi atau Pengontrol Kebijakan, seperti NoUpdateServiceAccount dari library open source Pemilah Komunikasi, yang memberikan beberapa solusi keamanan bermanfaat. Saat Anda men-deploy kebijakan, izinkan pengontrol yang mengelola siklus proses cluster untuk mengabaikan kebijakan tersebut. Pengontrol harus membuat perubahan pada cluster, seperti menerapkan upgrade cluster. Misalnya, jika Anda men-deploy kebijakan NoUpdateServiceAccount di GKE, Anda harus menetapkan parameter berikut dalam batasan: parameters: allowedGroups: - system:masters allowedUsers: - system:addon-manager |
| Produk yang berlaku |
GKE |
| Kontrol NIST-800-53 terkait |
|
| Informasi terkait |
Memantau konfigurasi cluster Anda
| ID kontrol Google | GKE-CO-1.14 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Audit konfigurasi cluster Anda untuk menemukan penyimpangan dari setelan yang ditentukan. Setelan yang dibahas dalam praktik terbaik ini, serta kesalahan konfigurasi umum lainnya, dapat diperiksa secara otomatis menggunakan Security Command Center. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Informasi terkait |
Menerapkan Otorisasi Biner
| ID kontrol Google | BIN-CO-1.1 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Gunakan Otorisasi Biner untuk memastikan image tepercaya di-deploy ke Google Kubernetes Engine (GKE) dan Cloud Run. Otorisasi Biner membantu memastikan bahwa hanya image container terverifikasi dan tepercaya yang dapat di-deploy di cluster Anda, sehingga memperkuat keamanan supply chain software. |
| Produk yang berlaku |
|
| Jalur | constraints/binaryauthorization.requireBinauthz |
| Operator | == |
| Nilai |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menggunakan Autopilot GKE
| Penerapan | Wajib |
|---|---|
| Deskripsi | Gunakan cluster Autopilot Google Kubernetes Engine (GKE). Cluster Autopilot menawarkan langkah-langkah keamanan yang kuat, dengan banyak praktik terbaik keamanan untuk container atau GKE yang diaktifkan secara default. |
| Produk yang berlaku |
GKE |
| Jalur | container.clusters/autopilot.enabled |
| Operator | Adalah |
| Nilai |
|
| Jenis | Boolean |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menggunakan akun dengan hak istimewa terendah untuk cluster dan node GKE
| Penerapan | Wajib |
|---|---|
| Deskripsi | Gunakan akun layanan Identity and Access Management (IAM) dengan hak istimewa terendah untuk cluster dan node Google Kubernetes Engine (GKE). Akses ke bidang kontrol GKE dibatasi ke satu endpoint berbasis DNS. Menerapkan hak istimewa terendah akan mengurangi permukaan serangan secara signifikan tanpa memerlukan aturan firewall tambahan atau host bastion. |
| Produk yang berlaku |
GKE |
| Jalur | container.clusters/nodeConfig.serviceAccount |
| Operator | != |
| Nilai |
|
| Jenis | String |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menggunakan node GKE pribadi
| Penerapan | Wajib |
|---|---|
| Deskripsi | Buat node pribadi untuk mengurangi eksposur internet. Node Google Kubernetes Engine (GKE) pribadi membantu mengurangi eksposur internet dengan memastikan node GKE tidak memiliki alamat IP publik. |
| Produk yang berlaku |
GKE |
| Jalur | container.clusters/networkConfig.defaultEnablePrivateNodes |
| Operator | Adalah |
| Nilai |
|
| Jenis | Boolean |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menggunakan Confidential Google Kubernetes Engine Nodes
| Penerapan | Wajib |
|---|---|
| Deskripsi | Gunakan Confidential GKE Node untuk menerapkan enkripsi data aktif di node dan workload Anda. Confidential GKE Node membantu mengamankan workload yang sangat sensitif dengan mengenkripsi data yang sedang digunakan melalui confidential computing. |
| Produk yang berlaku |
Google Kubernetes Engine (GKE) |
| Jalur | container.clusters/confidentialNodes.enabled |
| Operator | Adalah |
| Nilai |
|
| Jenis | Boolean |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menjalankan certificate authority kustom di GKE
| Penerapan | Wajib |
|---|---|
| Deskripsi | Jalankan otoritas sertifikat Anda sendiri untuk mengelola kunci dalam Google Kubernetes Engine (GKE). Menggunakan otoritas sertifikat Anda sendiri memberikan kontrol yang lebih besar atas operasi kriptografi. Untuk meminta akses ke fitur ini, hubungi Google Cloud tim akun Anda. |
| Produk yang berlaku |
GKE |
| Jalur | container.clusters/userManagedKeysConfig.clusterCa |
| Operator | Disetel |
| Jenis | String |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Enkripsi Secret Kubernetes menggunakan Cloud KMS
| Penerapan | Wajib |
|---|---|
| Deskripsi | Enkripsi Secret Kubernetes dalam penyimpanan menggunakan kunci yang dikelola Cloud Key Management Service (Cloud KMS). Cloud KMS memberikan lapisan keamanan tambahan untuk data etcd dengan memungkinkan Anda mengenkripsi Secret Kubernetes dengan kunci yang Anda miliki dan kelola. |
| Produk yang berlaku |
|
| Jalur | container.clusters/databaseEncryption.keyName |
| Operator | Disetel |
| Jenis | String |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menggunakan CMEK untuk boot disk node
| Penerapan | Wajib |
|---|---|
| Deskripsi | Gunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk enkripsi boot disk node. CMEK memungkinkan Anda mengenkripsi boot disk node Kubernetes dengan kunci yang Anda miliki dan kelola. |
| Produk yang berlaku |
|
| Jalur | container.clusters/nodeConfig.bootDiskKmsKey |
| Operator | Disetel |
| Jenis | String |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Kontrol VMware Engine
Membatasi penetapan peran Admin untuk VMware Engine
| ID kontrol Google | GCVE-CO-3.1 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Hanya berikan peran Admin kepada akun layanan yang men-deploy dan mengonfigurasi cloud pribadi Google Cloud VMware Engine dan kepada sejumlah kecil administrator. Biasanya, penambahan atau penghapusan cluster dan node secara manual adalah tindakan yang tidak sering terjadi dan mungkin berdampak besar pada penagihan atau ketersediaan cluster. Pastikan untuk mengaudit secara rutin siapa yang telah diberi peran Admin Layanan VMware Engine, baik secara langsung di project yang digunakan untuk VMware Engine atau di salah satu tingkat induk hierarki resource. Audit ini harus mencakup peran lain, seperti peran Editor dan Pemilik dasar yang mencakup izin penting terkait VMware Engine. Anda dapat menggunakan layanan seperti pemberi rekomendasi peran IAM untuk membantu mengidentifikasi peran yang memiliki terlalu banyak hak istimewa. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menggunakan peran VMware Engine Service Viewer untuk hak istimewa terendah
| ID kontrol Google | GCVE-CO-3.3 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Berikan peran Pelihat Layanan VMware Engine kepada pengguna secara default, dan hanya jika diperlukan. Peran Pelihat Layanan VMware Engine memberikan akses hanya baca ke Google Cloud VMware Engine di Google Cloud dan dirancang agar cukup untuk sebagian besar tugas. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menggunakan RBAC dan hak istimewa terendah untuk peran vCenter Server Appliance
| ID kontrol Google | GCVE-CO-3.4 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Saat memberikan peran tingkat VMware di vCenter Server Appliance, gunakan kontrol akses berbasis peran (RBAC) dan prinsip hak istimewa terendah. |
| Produk yang berlaku |
VMware Engine |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menggunakan identity federation untuk pengguna VMware
| ID kontrol Google | GCVE-CO-3.5 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Mempertahankan solusi identitas tunggal tempat Anda dapat menyediakan dan mengelola akun pengguna. Praktik yang direkomendasikan ini memungkinkan Anda memusatkan aktivitas seperti pengelolaan siklus proses identitas, pengelolaan grup, dan pengelolaan sandi. Hindari pembuatan strategi identitas yang terpecah-pecah. |
| Produk yang berlaku |
VMware Engine |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Memberikan peran ke grup, bukan individu untuk vCenter Server Appliance
| ID kontrol Google | GCVE-CO-3.6 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Saat memberikan peran tingkat VMware di vCenter Server Appliance, berikan peran kepada grup yang Anda buat di penyedia identitas Anda. Jangan membuat strategi identitas yang terpecah-pecah. |
| Produk yang berlaku |
VMware Engine |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Jangan tetapkan Cloud-Owner-Role ke grup pengguna di vSphere
| ID kontrol Google | GCVE-CO-3.7 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Saat membuat grup pengguna di vSphere, jangan tetapkan Cloud-Owner-Role. Peran ini memberikan kontrol administratif atas lingkungan vCenter cloud pribadi Anda sekaligus membatasi izin infrastruktur global yang mendasarinya. Grup pengguna dengan izin yang lebih tinggi daripada Cloud-Owner-Role akan otomatis direset ke Cloud-Owner-Role. |
| Produk yang berlaku |
VMware Engine |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Hindari penggunaan akun layanan vCenter dan NSX-T default
| ID kontrol Google | GCVE-CO-3.8 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Kecuali untuk proses konfigurasi awal dan dalam prosedur darurat, jangan gunakan akun layanan vCenter default (CloudOwner@gve.local) dan administrator akun layanan NSX-T default (admin). Akun layanan default ini mencakup izin yang kuat seperti Cloud-Owner-Role dan Enterprise Admin. Simpan kredensial untuk akun layanan ini di Secret Manager. |
| Produk yang berlaku |
VMware Engine |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Rotasi sandi untuk akun layanan vCenter dan NSX-T default setiap 90 hari
| ID kontrol Google | GCVE-CO-3.9 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Untuk mencegah dan memitigasi pengungkapan kredensial yang tidak sah untuk akun layanan vCenter default (CloudOwner@gve.local) dan administrator akun layanan NSX-T default (admin), ganti sandi mereka setiap 90 hari. |
| Produk yang berlaku |
VMware Engine |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menggunakan NSX Gateway Firewall untuk menyegmentasikan traffic utara-selatan
| ID kontrol Google | GCVE-CO-1.2 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Kontrol traffic jaringan utara-selatan yang masuk dan keluar dari cloud pribadi Anda menggunakan NSX Gateway Firewall. Firewall Gateway NSX adalah firewall utara-selatan yang membantu melindungi perimeter. |
| Produk yang berlaku |
VMware Engine |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menggunakan Firewall Terdistribusi NSX untuk menyegmentasikan traffic timur-barat
| ID kontrol Google | GCVE-CO-1.3 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Kontrol traffic jaringan timur-barat dalam cloud pribadi Anda menggunakan Firewall Terdistribusi (DFW) NSX. Secara default, semua subnet dapat berkomunikasi satu sama lain. Gunakan DFW untuk menentukan traffic yang diizinkan antara aplikasi dan layanan di dalam aplikasi Anda. |
| Produk yang berlaku |
VMware Engine |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Buat subnet terpisah untuk workload dengan persyaratan keamanan yang berbeda
| ID kontrol Google | GCVE-CO-1.4 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Jika Anda menjalankan beban kerja yang memiliki persyaratan keamanan atau klasifikasi data yang berbeda, buat subnet beban kerja untuk memisahkannya. Subnet memungkinkan Anda mengurangi potensi dampak kerusakan dengan tidak mencampur workload dengan persyaratan dan postur keamanan yang berbeda-beda. |
| Produk yang berlaku |
VMware Engine |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Membuat sink log untuk menyimpan log audit VMware Engine
| ID kontrol Google | GCVE-CO-4.1 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Gunakan sink log untuk menyimpan log audit API Google Cloud VMware Engine. Anda dapat merutekan log audit ke tujuan yang berbeda sesuai kebutuhan. |
| Produk yang berlaku |
VMware Engine |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengumpulkan log platform tingkat VMware
| ID kontrol Google | GCVE-CO-4.2 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Untuk mengumpulkan log platform tingkat VMware (misalnya, pesan syslog vCenter dan NSX-T), konfigurasi cloud pribadi Google Cloud VMware Engine untuk meneruskan log syslog ke pengumpul log terpusat. Log ini tidak dikumpulkan dalam log audit VMware Engine dan harus dikumpulkan secara terpisah. |
| Produk yang berlaku |
VMware Engine |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Memantau aplikasi menggunakan Logging dan Monitoring
| ID kontrol Google | GCVE-CO-4.3 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Instal agen mandiri untuk mengaktifkan Cloud Logging dan Cloud Monitoring dari platform VMware vSphere. Agen mandiri memungkinkan Anda mengumpulkan log tingkat beban kerja dan mengirimkannya ke Logging dan Monitoring untuk dianalisis dan disimpan. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Buat cloud pribadi di region yang sesuai dengan persyaratan residensi data Anda
| ID kontrol Google | GCVE-CO-2.1 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Buat cloud pribadi Google Cloud VMware Engine di region yang sesuai dengan persyaratan residensi data organisasi Anda. Cloud pribadi adalah resource yang disediakan dalam jangka panjang yang tidak mudah di-deploy dan dipindahkan. |
| Produk yang berlaku |
VMware Engine |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menerapkan strategi pencadangan dan pemulihan dari bencana
| ID kontrol Google | GCVE-CO-5.1 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Menerapkan Backup and DR Service atau solusi pencadangan pihak ketiga untuk beban kerja. Secara default, Google Cloud VMware Engine hanya mencadangkan konfigurasi vCenter dan NSX secara otomatis. Backup and DR mempermudah pencadangan dan pemulihan VM. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menerapkan enkripsi tingkat aplikasi untuk workload VMware
| ID kontrol Google | GCVE-CO-1.1 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Pastikan aplikasi yang berjalan di Google Cloud VMware Engine mengenkripsi traffic-nya. VMware Engine tidak mengenkripsi traffic workload dalam pengiriman. |
| Produk yang berlaku |
VMware Engine |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengaktifkan enkripsi data saat transit di cluster VMware vSAN
| ID kontrol Google | GCVE-CO-2.3 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Aktifkan enkripsi data dalam pengiriman pada cluster VMware vSAN untuk mengenkripsi data, metadata, dan traffic layanan file. |
| Produk yang berlaku |
VMware Engine |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengonfigurasi enkripsi data dalam penyimpanan vSAN untuk menggunakan CMEK
| ID kontrol Google | GCVE-CO-2.2 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Jika diwajibkan oleh lingkungan peraturan Anda, konfigurasikan enkripsi data dalam penyimpanan vSAN untuk menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Merotasi kunci yang digunakan untuk enkripsi data dalam penyimpanan vSAN
| ID kontrol Google | GCVE-CO-2.4 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Mengelola siklus proses kunci enkripsi kunci (KEK) yang Anda gunakan untuk enkripsi data dalam penyimpanan vSAN. Terapkan prosedur rotasi kunci yang sesuai dengan persyaratan organisasi Anda. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Langkah berikutnya
Tinjau kontrol pengelolaan data.
Lihat Google Cloud praktik terbaik dan panduan keamanan lainnya.