Questo documento include le best practice e le linee guida per Google Cloud servizi come Compute Engine, Google Kubernetes Engine (GKE), Pub/Sub, Dataflow e Cloud Run quando esegui carichi di lavoro su Google Cloud.
Controlli di calcolo
Questi controlli si applicano ai servizi di calcolo.
Definisci le istanze VM che possono abilitare l'IP forwarding
| ID controllo Google | VPC-CO-6.3 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Il vincolo
compute.vmCanIpForward definisce le istanze VM che possono abilitare l'inoltro IP. Per impostazione predefinita, qualsiasi VM può abilitare il forwarding IP in qualsiasi rete virtuale. Specifica le istanze VM utilizzando uno dei seguenti formati:
|
| Prodotti applicabili |
|
| Percorso | constraints/compute.vmCanIpForward |
| Operatore | = |
| Valore |
|
| Tipo | Elenco |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Disattiva la virtualizzazione nidificata della VM
| ID controllo Google | VPC-CO-6.6 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Il vincolo booleano
compute.disableNestedVirtualization disattiva la virtualizzazione nidificata con accelerazione hardware per le VM Compute Engine. |
| Prodotti applicabili |
|
| Percorso | constraints/compute.disableNestedVirtualization |
| Operatore | È |
| Valore |
|
| Tipo | Booleano |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Limita gli indirizzi IP esterni sulle VM
| ID controllo Google | VPC-CO-6.2 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Se non necessario, impedisci la creazione di istanze Compute Engine con indirizzi IP pubblici. Il vincolo dell'elenco Impedisci alle istanze Compute Engine di avere indirizzi IP esterni per ridurre drasticamente la loro esposizione a internet. Qualsiasi istanza con un indirizzo IP esterno è immediatamente rilevabile e diventa un obiettivo diretto per scansioni automatizzate, attacchi di tipo brute force e tentativi di sfruttamento delle vulnerabilità. Richiedi invece alle istanze di utilizzare indirizzi IP privati e gestisci l'accesso tramite percorsi controllati, autenticati e registrati, come il tunnel Identity-Aware Proxy (IAP) o un bastion host. L'adozione di questa postura di negazione predefinita è una best practice di sicurezza fondamentale che contribuisce a ridurre al minimo la superficie di attacco e applica un approccio zero-trust alla tua rete. Questo vincolo non è retroattivo. |
| Prodotti applicabili |
|
| Percorso | constraints/compute.vmExternalIpAccess |
| Operatore | = |
| Valore |
|
| Tipo | Elenco |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Definisci indirizzi IP esterni consentiti per le istanze VM
| ID controllo Google | CBD-CO-6.3 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Il vincolo dell'elenco |
| Prodotti applicabili |
|
| Percorso | compute.vmExternalIpAccess |
| Operatore | = |
| Valore |
|
| Tipo | Elenco |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Disattiva l'accesso alla porta seriale VM
| Implementazione | Obbligatorio |
|---|---|
| Descrizione | Disattiva l'accesso alla porta seriale impostando il vincolo della policy dell'organizzazione La disattivazione dell'accesso alla porta seriale contribuisce a rafforzare una strategia di sicurezza in profondità forzando tutto l'accesso amministrativo tramite percorsi standard controllati come SSH, che puoi proteggere attivando Identity and Access Management (IAM) e Identity-Aware Proxy (IAP). |
| Prodotti applicabili |
Compute Engine |
| Percorso | constraints/compute.disableSerialPortAccess |
| Operatore | = |
| Valore |
|
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Richiedere il connettore VPC per Cloud Run Functions
| ID controllo Google | CF-CO-4.4 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Il vincolo booleano |
| Prodotti applicabili |
|
| Percorso | constraints/cloudfunctions.requireVPCConnector |
| Operatore | = |
| Valore |
|
| Tipo | Booleano |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Attiva le funzionalità delle Shielded VM
| Implementazione | Obbligatorio |
|---|---|
| Descrizione | Attiva gli attributi del Trusted Platform Module virtuale (vTPM) e del monitoraggio dell'integrità di Shielded VM per le tue istanze. Gli attributi vTPM e monitoraggio dell'integrità fanno parte del processo di creazione dell'istanza VM predefinito. Utilizza gli attributi vTPM e di monitoraggio dell'integrità di Shielded VM per assicurarti che le VM si avvino solo con codice attendibile e non modificato. Il vTPM fornisce un criptoprocessore virtuale sicuro che genera e archivia misurazioni crittografiche dell'intera sequenza di avvio, dal firmware UEFI ai driver del kernel. Il monitoraggio dell'integrità confronta continuamente queste misurazioni di runtime con una baseline nota e valida stabilita al momento della creazione della VM. Queste funzionalità forniscono una catena di attendibilità verificabile e ti avvisano automaticamente o intervengono se rilevano modifiche dannose, ad esempio quelle di un bootkit o rootkit. Le funzionalità di Shielded VM contribuiscono a mantenere l'integrità del workload dal momento in cui l'istanza viene accesa. |
| Prodotti applicabili |
Compute Engine |
| Percorso | compute.instances/shieldedInstanceConfig.enableVtpm |
| Operatore | È |
| Valore |
|
| Tipo | Booleano |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Forza l'utilizzo di OS Login per le VM
| Implementazione | Obbligatorio |
|---|---|
| Descrizione | Se consenti agli sviluppatori di accedere alle risorse Compute Engine utilizzando SSH, configura OS Login con la verifica in due passaggi. Utilizza OS Login per gestire le chiavi SSH con le policy IAM (Identity and Access Management) impostando il vincolo della policy dell'organizzazione Collegare le autorizzazioni SSH all'identità di un utente è fondamentale per la sicurezza, perché la rimozione del ruolo IAM di un utente revoca immediatamente il suo accesso a tutte le istanze, proteggendo da accessi non autorizzati da account obsoleti. Il sistema semplifica la gestione delle chiavi per contribuire a prevenire la proliferazione delle chiavi e fornisce una traccia di controllo chiara e centralizzata per tutti gli eventi di accesso in Cloud Audit Logs. OS Login ti consente anche di applicare l'autenticazione a due fattori, aggiungendo un livello di protezione fondamentale contro le credenziali e le chiavi SSH rubate. Questa funzionalità blocca un malintenzionato con token OAuth compromessi, ma senza password o token di sicurezza. L'accesso RDP (Remote Desktop Protocol) alle istanze Windows su Compute Engine non supporta il servizio OS Login, pertanto la verifica in due passaggi non può essere applicata in modo granulare per le sessioni RDP. Quando utilizzi IAP Desktop o i plug-in RDP basati su Google Chrome, imposta controlli granulari come la durata della sessione per i servizi Google e le impostazioni della verifica in due passaggi per le sessioni web dell'utente e disattiva l'impostazione Consenti all'utente di considerare attendibile il dispositivo nella verifica in due passaggi. |
| Prodotti applicabili |
Compute Engine |
| Percorso | compute.projects/commonInstanceMetadata.items |
| Operatore | È |
| Valore |
|
| Tipo | Booleano |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Configurare i criteri di archiviazione dei messaggi
| ID controllo Google | PS-CO-4.1 |
|---|---|
| Implementazione | Facoltativo |
| Descrizione | Se pubblichi messaggi nell'endpoint Pub/Sub globale, Pub/Sub li archivia automaticamente nella regione Google Cloud più vicina. Per controllare le regioni in cui vengono archiviati i messaggi, configura una policy di archiviazione dei messaggi nell'argomento.
Utilizza uno dei seguenti modi per configurare i criteri di archiviazione dei messaggi per gli argomenti:
|
| Prodotti applicabili |
|
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Disattivare gli indirizzi IP esterni per i job Dataflow
| ID controllo Google | DF-CO-6.1 |
|---|---|
| Implementazione | Facoltativo |
| Descrizione | Disattiva gli indirizzi IP esterni per le attività amministrative e di monitoraggio correlate ai job Dataflow. Configura invece l'accesso alle VM worker Dataflow utilizzando SSH. Abilita l'accesso privato Google e specifica una delle seguenti opzioni nel job Dataflow:
Dove:
|
| Prodotti applicabili |
|
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Utilizzare i tag di rete per le regole firewall
| ID controllo Google | DF-CO-6.2 |
|---|---|
| Implementazione | Facoltativo |
| Descrizione | I tag di rete sono attributi di testo che vengono collegati alle VM Compute Engine, come le VM worker Dataflow. I tag di rete consentono di applicare regole firewall di rete VPC e alcune route statiche personalizzate a istanze VM specifiche. Dataflow supporta l'aggiunta di tag di rete a tutte le VM worker che eseguono un determinato job Dataflow. |
| Prodotti applicabili |
|
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Controlli dei container
Questi controlli si applicano ai container all'interno di GKE.
Limitare l'accesso al control plane
| ID controllo Google | GKE-CO-1.1 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Per impostazione predefinita, il control plane e i nodi del cluster Google Kubernetes Engine (GKE) hanno indirizzi instradabili su internet a cui è possibile accedere da qualsiasi indirizzo IP. Limita l'accesso alla rete al control plane utilizzando un endpoint basato su DNS e creando cluster privati. Il control plane è il centro di gestione di un cluster Kubernetes e la sua esposizione a internet lo rende un obiettivo primario per gli autori degli attacchi. Questa configurazione rende privato il piano di controllo e lo rimuove da internet. La limitazione dell'accesso al control plane contribuisce a garantire che solo i dispositivi attendibili all'interno della rete privata della tua organizzazione possano gestire il cluster, riducendo drasticamente il rischio di un attacco esterno. |
| Prodotti applicabili |
GKE |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Utilizza regole firewall con privilegi minimi
| ID controllo Google | GKE-CO-1.2 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Quando crei regole firewall, utilizza il principio del privilegio minimo per fornire l'accesso solo per lo scopo richiesto. Se possibile, assicurati che le regole firewall non siano in conflitto con le regole firewall predefinite di GKE. |
| Prodotti applicabili |
GKE |
| Controlli NIST-800-53 correlati |
|
| Informazioni correlate |
Utilizzare Google Gruppi per RBAC
| ID controllo Google | GKE-CO-1.3 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Utilizza Google Gruppi per controllo dell'accesso basato sui ruoli (RBAC), che ti consente anche di integrarti con le tue pratiche di gestione degli account utente esistenti, ad esempio la revoca dell'accesso quando qualcuno lascia l'organizzazione. Google Gruppi per RBAC consente una gestione efficiente dell'accesso al cluster utilizzando Identity and Access Management (IAM) e Google Gruppi, che è adatto alla maggior parte delle organizzazioni che utilizzano Google Gruppi. |
| Prodotti applicabili |
Google Kubernetes Engine (GKE) |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Abilita Shielded GKE Nodes
| ID controllo Google | GKE-CO-1.4 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Abilita Shielded GKE Nodes per la verifica crittografica dei nodi nel cluster. I nodi GKE schermati forniscono un'identità e un'integrità del nodo solide e verificabili. Abilita Shielded GKE Nodes durante la creazione o l'aggiornamento dei cluster. Ove possibile, utilizza i nodi GKE schermati con l'avvio protetto per autenticare anche i componenti di avvio delle VM dei nodi durante il processo di avvio. Non utilizzare l'avvio protetto se hai bisogno di moduli del kernel non firmati di terze parti. Shielded GKE Nodes è abilitato per impostazione predefinita quando crei un cluster. |
| Prodotti applicabili |
GKE |
| Controlli NIST-800-53 correlati |
|
| Informazioni correlate |
Utilizza Container-Optimized OS con il runtime containerd
| ID controllo Google | GKE-CO-1.5 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Utilizza Container-Optimized OS per implementare un sistema operativo per i container gestito e con protezione avanzata. I sistemi operativi per uso generico includono molti programmi aggiuntivi che non sono necessari per eseguire i container e quindi creano un target più ampio e non necessario per gli autori degli attacchi. Container-Optimized OS è un sistema operativo minimale e bloccato che riduce significativamente questa superficie di attacco includendo solo ciò che è necessario. In quanto sistema operativo gestito, Container-Optimized OS dispone anche di patch di sicurezza che vengono applicate automaticamente da Google, il che contribuisce a garantire la correzione delle vulnerabilità critiche e a ridurre il carico di lavoro operativo. Un'immagine che include Container-Optimized OS con containerd (cos_containerd) ha containerd come runtime del container principale direttamente integrato con Kubernetes. containerd è il componente di runtime principale di Docker ed è progettato per fornire la funzionalità di base del container per la Container Runtime Interface (CRI) di Kubernetes. È molto meno complesso del daemon Docker completo e quindi ha una superficie di attacco più piccola. |
| Prodotti applicabili |
Container-Optimized OS |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Utilizzare Workload Identity Federation for GKE
| ID controllo Google | GKE-CO-1.6 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Utilizza la federazione delle identità per i carichi di lavoro per GKE per eseguire l'autenticazione in modo sicuro nelle API dai carichi di lavoro di Google Kubernetes Engine (GKE). Google Cloud Workload Identity Federation for GKE offre un'alternativa più semplice e sicura all'utilizzo delle chiavi dei account di servizio. |
| Prodotti applicabili |
GKE |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Abilita GKE Sandbox
| ID controllo Google | GKE-CO-1.7 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Utilizza GKE Sandbox per fornire un ulteriore livello di sicurezza per impedire che il codice non attendibile influenzi il kernel host sui nodi del cluster Google Kubernetes Engine (GKE). GKE Sandbox migliora l'isolamento dei carichi di lavoro non attendibili o sensibili, fornendo un ulteriore livello di protezione dagli attacchi di container escape. |
| Prodotti applicabili |
GKE |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Disabilita la porta di sola lettura di Kubelet
| ID controllo Google | GKE-CO-1.9 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Disabilita la porta di sola lettura kubelet 10255 e utilizza la porta più sicura 10250. Kubernetes non esegue controlli di autenticazione o autorizzazione su questa porta. Kubelet gestisce gli stessi endpoint sulla porta 10250, più sicura e autenticata. Puoi disabilitare la porta di sola lettura kubelet non sicura solo in GKE versione 1.26.4-gke.500 o successive. |
| Prodotti applicabili |
GKE |
| Controlli NIST-800-53 correlati |
|
| Informazioni correlate |
Utilizzare lo spazio dei nomi e RBAC per limitare l'accesso alle risorse del cluster
| ID controllo Google | GKE-CO-1.10 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Crea spazi dei nomi o cluster separati per ogni team e ambiente per implementare l'accesso con privilegi minimi a Kubernetes. Assegna centri di costo ed etichette appropriate a ogni spazio dei nomi per la responsabilità e il riaddebito. Concedi agli sviluppatori solo il livello di accesso allo spazio dei nomi necessario per eseguire il deployment e gestire la propria applicazione, soprattutto in produzione. Mappa le attività che gli utenti devono svolgere sul cluster e definisci le autorizzazioni necessarie per svolgere ogni attività. Assegna i ruoli Identity and Access Management (IAM) appropriati per Google Kubernetes Engine (GKE) a gruppi e utenti per fornire le autorizzazioni a livello di progetto e utilizza RBAC per concedere le autorizzazioni a livello di cluster e spazio dei nomi. |
| Prodotti applicabili |
|
| Controlli NIST-800-53 correlati |
|
| Informazioni correlate |
Limitare il traffico tra i pod
| ID controllo Google | GKE-CO-1.11 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Per impostazione predefinita, tutti i pod di un cluster possono comunicare tra loro. Controlla la comunicazione da pod a pod in base alle esigenze dei tuoi carichi di lavoro. Limitare l'accesso di rete ai servizi rende molto più difficile per gli autori di attacchi spostarsi lateralmente all'interno del cluster e offre anche ai servizi una certa protezione contro il denial of service accidentale o intenzionale. Esistono due modi per controllare il traffico:
|
| Prodotti applicabili |
GKE |
| Controlli NIST-800-53 correlati |
|
| Informazioni correlate |
Utilizzare i controller di ammissione per applicare i criteri
| ID controllo Google | GKE-CO-1.12 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | I controller di ammissione sono plug-in che regolano e applicano le modalità di utilizzo del cluster. Consenti loro di utilizzare alcune delle funzionalità di sicurezza più avanzate di Kubernetes, perché sono una parte importante dell'approccio di difesa in profondità per proteggere il cluster. Per impostazione predefinita, i pod in Kubernetes possono operare con funzionalità superiori a quelle richieste. Utilizza i controlli di ammissione per limitare le funzionalità del pod solo a quelle richieste per il workload. GKE supporta numerosi controlli per limitare l'esecuzione dei pod alle funzionalità esplicitamente concesse. Ad esempio, Policy Controller è disponibile per i cluster nei parchi risorse. Kubernetes dispone anche del controller di ammissione PodSecurity integrato che ti consente di applicare gli standard di sicurezza dei pod nei singoli cluster. Policy Controller è una funzionalità di GKE che ti consente di applicare e convalidare la sicurezza sui cluster GKE su larga scala utilizzando policy dichiarative. |
| Prodotti applicabili |
GKE |
| Controlli NIST-800-53 correlati |
|
| Informazioni correlate |
Limitare la capacità dei workload di automodificarsi
| ID controllo Google | GKE-CO-1.13 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Alcuni carichi di lavoro Kubernetes, in particolare quelli di sistema, hanno l'autorizzazione a modificarsi autonomamente. Ad esempio, alcuni carichi di lavoro vengono scalati automaticamente in verticale. Sebbene sia comoda, la modifica automatica può consentire a un malintenzionato che ha già compromesso un nodo di ottenere privilegi più elevati nel cluster. Ad esempio, un attaccante potrebbe fare in modo che un workload sul nodo venga eseguito come un account di servizio con più privilegi esistente nello stesso spazio dei nomi. Non concedere ai workload l'autorizzazione a modificarsi per impostazione predefinita. Quando è necessaria l'automodifica, limita le autorizzazioni applicando i vincoli di Gatekeeper o Policy Controller, ad esempio NoUpdateServiceAccount dalla libreria open source Gatekeeper, che fornisce diverse policy di sicurezza utili. Quando implementi i criteri, consenti ai controller che gestiscono il ciclo di vita del cluster di ignorarli. I controller devono apportare modifiche al cluster, ad esempio applicare gli upgrade del cluster. Ad esempio, se esegui il deployment del criterio NoUpdateServiceAccount su GKE, devi impostare i seguenti parametri nel vincolo: parameters: allowedGroups: - system:masters allowedUsers: - system:addon-manager |
| Prodotti applicabili |
GKE |
| Controlli NIST-800-53 correlati |
|
| Informazioni correlate |
Monitorare le configurazioni del cluster
| ID controllo Google | GKE-CO-1.14 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Controlla le configurazioni dei cluster per verificare eventuali deviazioni dalle impostazioni definite. Le impostazioni trattate in queste best practice, nonché altre configurazioni errate comuni, possono essere controllate automaticamente utilizzando Security Command Center. |
| Prodotti applicabili |
|
| Controlli NIST-800-53 correlati |
|
| Informazioni correlate |
Applica Autorizzazione binaria
| ID controllo Google | BIN-CO-1.1 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Utilizza l'autorizzazione binaria per assicurarti che le immagini attendibili vengano sottoposte a deployment su Google Kubernetes Engine (GKE) e Cloud Run. Autorizzazione binaria contribuisce a garantire che nei tuoi cluster possano essere implementate solo immagini container verificate e attendibili, rafforzando la sicurezza della catena di fornitura del software. |
| Prodotti applicabili |
|
| Percorso | constraints/binaryauthorization.requireBinauthz |
| Operatore | == |
| Valore |
|
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Usa GKE Autopilot
| Implementazione | Obbligatorio |
|---|---|
| Descrizione | Utilizza i cluster Google Kubernetes Engine (GKE) Autopilot. I cluster Autopilot offrono solide misure di sicurezza, con molte best practice di sicurezza per container o GKE abilitate per impostazione predefinita. |
| Prodotti applicabili |
GKE |
| Percorso | container.clusters/autopilot.enabled |
| Operatore | È |
| Valore |
|
| Tipo | Booleano |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Utilizza account con privilegio minimo per i cluster e i nodi GKE
| Implementazione | Obbligatorio |
|---|---|
| Descrizione | Utilizza i service account Identity and Access Management (IAM) con privilegi minimi per i cluster e i nodi Google Kubernetes Engine (GKE). L'accesso al control plane GKE è limitato a un singolo endpoint basato su DNS. L'implementazione del privilegio minimo riduce significativamente la superficie di attacco senza la necessità di ulteriori regole firewall o host bastion. |
| Prodotti applicabili |
GKE |
| Percorso | container.clusters/nodeConfig.serviceAccount |
| Operatore | != |
| Valore |
|
| Tipo | Stringa |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Utilizzare nodi GKE privati
| Implementazione | Obbligatorio |
|---|---|
| Descrizione | Crea nodi privati per ridurre l'esposizione a internet. I nodi Google Kubernetes Engine (GKE) privati contribuiscono a ridurre l'esposizione a internet garantendo che i nodi GKE non abbiano un indirizzo IP pubblico. |
| Prodotti applicabili |
GKE |
| Percorso | container.clusters/networkConfig.defaultEnablePrivateNodes |
| Operatore | È |
| Valore |
|
| Tipo | Booleano |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Utilizzare i nodi Google Kubernetes Engine confidenziali
| Implementazione | Obbligatorio |
|---|---|
| Descrizione | Utilizza Confidential GKE Node per applicare la crittografia dei dati in uso nei nodi e nei carichi di lavoro. I Confidential GKE Node contribuiscono a proteggere i carichi di lavoro altamente sensibili criptando i dati in uso tramite Confidential Computing. |
| Prodotti applicabili |
Google Kubernetes Engine (GKE) |
| Percorso | container.clusters/confidentialNodes.enabled |
| Operatore | È |
| Valore |
|
| Tipo | Booleano |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Esegui un'autorità di certificazione personalizzata in GKE
| Implementazione | Obbligatorio |
|---|---|
| Descrizione | Esegui le tue autorità di certificazione per gestire le chiavi in Google Kubernetes Engine (GKE). L'utilizzo delle tue autorità di certificazione offre un maggiore controllo sulle operazioni crittografiche. Per richiedere l'accesso a questa funzionalità, contatta il team dedicato all'account Google Cloud . |
| Prodotti applicabili |
GKE |
| Percorso | container.clusters/userManagedKeysConfig.clusterCa |
| Operatore | È impostato |
| Tipo | Stringa |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Cripta i secret di Kubernetes utilizzando Cloud KMS
| Implementazione | Obbligatorio |
|---|---|
| Descrizione | Cripta i secret di Kubernetes a riposo utilizzando le chiavi gestite di Cloud Key Management Service (Cloud KMS). Cloud KMS fornisce un ulteriore livello di sicurezza per i dati etcd consentendoti di criptare i secret di Kubernetes con una chiave di tua proprietà e gestione. |
| Prodotti applicabili |
|
| Percorso | container.clusters/databaseEncryption.keyName |
| Operatore | È impostato |
| Tipo | Stringa |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Utilizza CMEK per i dischi di avvio dei nodi
| Implementazione | Obbligatorio |
|---|---|
| Descrizione | Utilizza le chiavi di crittografia gestite dal cliente (CMEK) per la crittografia del disco di avvio del nodo. CMEK ti consente di criptare il disco di avvio di un nodo Kubernetes con una chiave di tua proprietà e gestione. |
| Prodotti applicabili |
|
| Percorso | container.clusters/nodeConfig.bootDiskKmsKey |
| Operatore | È impostato |
| Tipo | Stringa |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Controlli VMware Engine
Limita le assegnazioni del ruolo di amministratore per VMware Engine
| ID controllo Google | GCVE-CO-3.1 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Concedi i ruoli di amministratore solo ai service account che eseguono il deployment e la configurazione dei cloud privati Google Cloud VMware Engine e a un numero limitato di amministratori. In genere, l'aggiunta o l'eliminazione manuale di cluster e nodi è un'azione che non si verifica di frequente e potrebbe avere un impatto elevato sulla fatturazione o sulla disponibilità del cluster. Assicurati di controllare regolarmente a chi è stato assegnato il ruolo Amministratore del servizio VMware Engine, direttamente nel progetto utilizzato per VMware Engine o in uno dei livelli principali della gerarchia delle risorse. Questo controllo deve includere altri ruoli, come i ruoli di base Editor e Proprietario, che includono autorizzazioni critiche relative a VMware Engine. Puoi utilizzare servizi come il motore per suggerimenti sui ruoli IAM per identificare i ruoli con privilegi eccessivi. |
| Prodotti applicabili |
|
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Utilizza il ruolo Visualizzatore del servizio VMware Engine per il privilegio minimo
| ID controllo Google | GCVE-CO-3.3 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Concedi il ruolo Visualizzatore servizio VMware Engine agli utenti per impostazione predefinita e solo se necessario. Il ruolo Visualizzatore del servizio VMware Engine fornisce accesso di sola lettura a Google Cloud VMware Engine su Google Cloud ed è progettato per essere sufficiente per la maggior parte delle attività. |
| Prodotti applicabili |
|
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Utilizza RBAC e il principio del privilegio minimo per i ruoli di vCenter Server Appliance
| ID controllo Google | GCVE-CO-3.4 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Quando concedi ruoli a livello VMware in vCenter Server Appliance, utilizza il controllo degli accessi basato sui ruoli (RBAC) e il principio del privilegio minimo. |
| Prodotti applicabili |
VMware Engine |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Utilizzare la federazione delle identità per gli utenti VMware
| ID controllo Google | GCVE-CO-3.5 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Gestire una singola soluzione di identità in cui puoi eseguire il provisioning e gestire gli account utente. Questa pratica consigliata ti consente di centralizzare attività come la gestione del ciclo di vita delle identità, la gestione dei gruppi e la gestione delle password. Evita di creare una strategia di identità frammentata. |
| Prodotti applicabili |
VMware Engine |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Assegna i ruoli ai gruppi anziché a singole persone per vCenter Server Appliance
| ID controllo Google | GCVE-CO-3.6 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Quando concedi ruoli a livello di VMware in vCenter Server Appliance, concedi i ruoli ai gruppi che crei nel tuo provider di identità. Non creare una strategia di identità frammentata. |
| Prodotti applicabili |
VMware Engine |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Non assegnare il ruolo Proprietario cloud ai gruppi di utenti in vSphere
| ID controllo Google | GCVE-CO-3.7 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Quando crei gruppi di utenti in vSphere, non assegnare il ruolo Cloud-Proprietario. Questo ruolo concede il controllo amministrativo sull'ambiente vCenter del tuo cloud privato, limitando al contempo determinate autorizzazioni dell'infrastruttura globale sottostante. I gruppi di utenti con autorizzazioni superiori al ruolo Cloud-Proprietario-Role vengono reimpostati automaticamente su Cloud-Proprietario-Role. |
| Prodotti applicabili |
VMware Engine |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Evita di utilizzare i service account predefiniti di vCenter e NSX-T
| ID controllo Google | GCVE-CO-3.8 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Ad eccezione del processo di configurazione iniziale e delle procedure di emergenza, non utilizzare il account di servizio vCenter predefinito (CloudOwner@gve.local) e l'amministratore del account di servizio NSX-T predefinito (admin). Questi service account predefiniti includono autorizzazioni potenti come Cloud-Proprietario-Role e Enterprise Admin. Salva le credenziali per questi service account in Secret Manager. |
| Prodotti applicabili |
VMware Engine |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Ruota le password per i service account vCenter e NSX-T predefiniti ogni 90 giorni
| ID controllo Google | GCVE-CO-3.9 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Per prevenire e mitigare la divulgazione non autorizzata delle credenziali per il account di servizio vCenter predefinito (CloudOwner@gve.local) e l'amministratore del account di servizio NSX-T predefinito (admin), ruota le password ogni 90 giorni. |
| Prodotti applicabili |
VMware Engine |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Utilizzare il firewall del gateway NSX per segmentare il traffico nord-sud
| ID controllo Google | GCVE-CO-1.2 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Controlla il traffico di rete nord-sud che entra ed esce dai tuoi cloud privati utilizzando NSX Gateway Firewall. I firewall NSX Gateway sono firewall nord-sud che aiutano a proteggere i perimetri. |
| Prodotti applicabili |
VMware Engine |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Utilizza NSX Distributed Firewall per segmentare il traffico est-ovest
| ID controllo Google | GCVE-CO-1.3 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Controlla il traffico di rete est-ovest all'interno del tuo cloud privato utilizzando NSX Distributed Firewall (DFW). Per impostazione predefinita, tutte le subnet possono comunicare tra loro. Utilizza DFW per definire il traffico consentito tra applicazioni e servizi all'interno dell'applicazione. |
| Prodotti applicabili |
VMware Engine |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Crea subnet separate per i carichi di lavoro con requisiti di sicurezza diversi
| ID controllo Google | GCVE-CO-1.4 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Se esegui carichi di lavoro con requisiti di sicurezza o classificazioni dei dati diversi, crea subnet del carico di lavoro per separarli. Le subnet consentono di ridurre il potenziale raggio di impatto non mescolando carichi di lavoro con requisiti e posture di sicurezza diversi. |
| Prodotti applicabili |
VMware Engine |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Crea un sink di log per archiviare gli audit log di VMware Engine
| ID controllo Google | GCVE-CO-4.1 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Utilizza un sink di log per archiviare i log di controllo dell'API Google Cloud VMware Engine. Puoi instradare gli audit log a destinazioni diverse in base alle esigenze. |
| Prodotti applicabili |
VMware Engine |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Raccogliere i log della piattaforma a livello VMware
| ID controllo Google | GCVE-CO-4.2 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Per raccogliere i log della piattaforma a livello VMware (ad esempio i messaggi syslog di vCenter e NSX-T), configura i cloud privati Google Cloud VMware Engine per inoltrare i log syslog a un aggregatore di log centralizzato. Questi log non vengono raccolti negli audit log di VMware Engine e devono essere raccolti separatamente. |
| Prodotti applicabili |
VMware Engine |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Monitorare le applicazioni utilizzando Logging e Monitoring
| ID controllo Google | GCVE-CO-4.3 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Installa l'agente autonomo per abilitare Cloud Logging e Cloud Monitoring dalla piattaforma VMware vSphere. L'agente autonomo ti consente di raccogliere i log a livello di workload e inviarli a Logging e Monitoring per l'analisi e l'archiviazione. |
| Prodotti applicabili |
|
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Crea cloud privati nelle regioni che corrispondono ai tuoi requisiti di residenza dei dati
| ID controllo Google | GCVE-CO-2.1 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Crea cloud privati Google Cloud VMware Engine in regioni che corrispondono ai requisiti di residenza dei dati della tua organizzazione. I cloud privati sono risorse di provisioning di lunga durata che non sono semplici da implementare e spostare. |
| Prodotti applicabili |
VMware Engine |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Implementare una strategia di backup e ripristino di emergenza
| ID controllo Google | GCVE-CO-5.1 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Implementa il servizio di backup e DR o una soluzione di backup di terze parti per i workload. Per impostazione predefinita, Google Cloud VMware Engine esegue automaticamente il backup solo della configurazione di vCenter e NSX. Backup e RE semplifica il backup e il ripristino delle VM. |
| Prodotti applicabili |
|
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Implementa la crittografia a livello di applicazione per i carichi di lavoro VMware
| ID controllo Google | GCVE-CO-1.1 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Assicurati che le applicazioni eseguite su Google Cloud VMware Engine criptino il traffico. VMware Engine non cripta il traffico dei workload in transito. |
| Prodotti applicabili |
VMware Engine |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Abilita la crittografia dei dati in transito sui cluster VMware vSAN
| ID controllo Google | GCVE-CO-2.3 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Attiva la crittografia dei dati in transito sui cluster VMware vSAN per criptare dati, metadati e traffico del servizio file. |
| Prodotti applicabili |
VMware Engine |
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Configura la crittografia dei dati inattivi di vSAN in modo che utilizzi CMEK
| ID controllo Google | GCVE-CO-2.2 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Se richiesto dal tuo ambiente normativo, configura la crittografia dei dati at-rest di vSAN in modo che utilizzi le chiavi di crittografia gestite dal cliente (CMEK). |
| Prodotti applicabili |
|
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Ruotare le chiavi utilizzate per la crittografia dei dati at-rest di vSAN
| ID controllo Google | GCVE-CO-2.4 |
|---|---|
| Implementazione | Obbligatorio |
| Descrizione | Gestisci il ciclo di vita delle chiavi di crittografia della chiave (KEK) che utilizzi per la crittografia dei dati at-rest di vSAN. Implementa una procedura di rotazione delle chiavi in linea con i requisiti della tua organizzazione. |
| Prodotti applicabili |
|
| Controlli NIST-800-53 correlati |
|
| Controlli correlati del profilo CRI |
|
| Informazioni correlate |
Passaggi successivi
Esamina i controlli di gestione dei dati.
Scopri altre Google Cloud best practice e linee guida per la sicurezza.