Controlli dell'infrastruttura

Questo documento include le best practice e le linee guida per Google Cloud servizi come Compute Engine, Google Kubernetes Engine (GKE), Pub/Sub, Dataflow e Cloud Run quando esegui carichi di lavoro su Google Cloud.

Controlli di calcolo

Questi controlli si applicano ai servizi di calcolo.

Definisci le istanze VM che possono abilitare l'IP forwarding

ID controllo Google VPC-CO-6.3
Implementazione Obbligatorio
Descrizione
Il vincolo compute.vmCanIpForward definisce le istanze VM che possono abilitare l'inoltro IP. Per impostazione predefinita, qualsiasi VM può abilitare il forwarding IP in qualsiasi rete virtuale. Specifica le istanze VM utilizzando uno dei seguenti formati:
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME.
Questo vincolo non è retroattivo.
Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Virtual Private Cloud (VPC)
  • Compute Engine
Percorso constraints/compute.vmCanIpForward
Operatore =
Valore

Your list of VM instances that can enable IP forwarding.

Tipo Elenco
Controlli NIST-800-53 correlati
  • SC-7
  • SC-8
Controlli correlati del profilo CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informazioni correlate

Disattiva la virtualizzazione nidificata della VM

ID controllo Google VPC-CO-6.6
Implementazione Obbligatorio
Descrizione
Il vincolo booleano compute.disableNestedVirtualization disattiva la virtualizzazione nidificata con accelerazione hardware per le VM Compute Engine.
Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Virtual Private Cloud (VPC)
  • Compute Engine
Percorso constraints/compute.disableNestedVirtualization
Operatore È
Valore

True

Tipo Booleano
Controlli NIST-800-53 correlati
  • SC-7
  • SC-8
Controlli correlati del profilo CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informazioni correlate

Limita gli indirizzi IP esterni sulle VM

ID controllo Google VPC-CO-6.2
Implementazione Obbligatorio
Descrizione

Se non necessario, impedisci la creazione di istanze Compute Engine con indirizzi IP pubblici. Il vincolo dell'elenco compute.vmExternalIpAccess definisce l'insieme di istanze VM di Compute Engine che possono avere indirizzi IP esterni.

Impedisci alle istanze Compute Engine di avere indirizzi IP esterni per ridurre drasticamente la loro esposizione a internet. Qualsiasi istanza con un indirizzo IP esterno è immediatamente rilevabile e diventa un obiettivo diretto per scansioni automatizzate, attacchi di tipo brute force e tentativi di sfruttamento delle vulnerabilità. Richiedi invece alle istanze di utilizzare indirizzi IP privati e gestisci l'accesso tramite percorsi controllati, autenticati e registrati, come il tunnel Identity-Aware Proxy (IAP) o un bastion host.

L'adozione di questa postura di negazione predefinita è una best practice di sicurezza fondamentale che contribuisce a ridurre al minimo la superficie di attacco e applica un approccio zero-trust alla tua rete. Questo vincolo non è retroattivo.

Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Virtual Private Cloud (VPC)
  • Compute Engine
Percorso constraints/compute.vmExternalIpAccess
Operatore =
Valore

The list of VM instances in your organization that can have external IP addresses.

Tipo Elenco
Controlli NIST-800-53 correlati
  • SC-7
  • SC-8
Controlli correlati del profilo CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informazioni correlate

Definisci indirizzi IP esterni consentiti per le istanze VM

ID controllo Google CBD-CO-6.3
Implementazione Obbligatorio
Descrizione

Il vincolo dell'elenco compute.vmExternalIpAccess consente di limitare l'accesso esterno alle macchine virtuali non assegnando indirizzi IP esterni. Configura questo vincolo dell'elenco per negare tutti gli indirizzi IP esterni alle macchine virtuali.

Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Compute Engine
Percorso compute.vmExternalIpAccess
Operatore =
Valore

Deny All

Tipo Elenco
Controlli NIST-800-53 correlati
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Controlli correlati del profilo CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informazioni correlate

Disattiva l'accesso alla porta seriale VM

Implementazione Obbligatorio
Descrizione

Disattiva l'accesso alla porta seriale impostando il vincolo della policy dell'organizzazione compute.disableSerialPortAccess. Disattiva l'accesso alla porta seriale sulle VM di Compute Engine per eliminare un canale di accesso che bypassa le regole firewall e altri controlli di sicurezza di rete. La console seriale interattiva è pensata principalmente per la risoluzione di problemi di emergenza, ma, se la lasci abilitata, puoi creare una backdoor persistente che può essere presa di mira dagli autori degli attacchi.

La disattivazione dell'accesso alla porta seriale contribuisce a rafforzare una strategia di sicurezza in profondità forzando tutto l'accesso amministrativo tramite percorsi standard controllati come SSH, che puoi proteggere attivando Identity and Access Management (IAM) e Identity-Aware Proxy (IAP).

Prodotti applicabili

Compute Engine

Percorso constraints/compute.disableSerialPortAccess
Operatore =
Valore

True

Controlli NIST-800-53 correlati
  • AC-3
Controlli correlati del profilo CRI
  • PR.AC-3.1
Informazioni correlate

Richiedere il connettore VPC per Cloud Run Functions

ID controllo Google CF-CO-4.4
Implementazione Obbligatorio
Descrizione

Il vincolo booleano cloudfunctions.requireVPCConnector richiede che gli amministratori specifichino un connettore di accesso VPC serverless quando eseguono il deployment di una funzione Cloud Run. Quando viene applicato, le funzioni devono specificare un connettore.

Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Cloud Run Functions
Percorso constraints/cloudfunctions.requireVPCConnector
Operatore =
Valore

True

Tipo Booleano
Controlli NIST-800-53 correlati
  • SC-7
  • SC-8
Controlli correlati del profilo CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informazioni correlate

Attiva le funzionalità delle Shielded VM

Implementazione Obbligatorio
Descrizione

Attiva gli attributi del Trusted Platform Module virtuale (vTPM) e del monitoraggio dell'integrità di Shielded VM per le tue istanze. Gli attributi vTPM e monitoraggio dell'integrità fanno parte del processo di creazione dell'istanza VM predefinito. Utilizza gli attributi vTPM e di monitoraggio dell'integrità di Shielded VM per assicurarti che le VM si avvino solo con codice attendibile e non modificato.

Il vTPM fornisce un criptoprocessore virtuale sicuro che genera e archivia misurazioni crittografiche dell'intera sequenza di avvio, dal firmware UEFI ai driver del kernel. Il monitoraggio dell'integrità confronta continuamente queste misurazioni di runtime con una baseline nota e valida stabilita al momento della creazione della VM.

Queste funzionalità forniscono una catena di attendibilità verificabile e ti avvisano automaticamente o intervengono se rilevano modifiche dannose, ad esempio quelle di un bootkit o rootkit. Le funzionalità di Shielded VM contribuiscono a mantenere l'integrità del workload dal momento in cui l'istanza viene accesa.

Prodotti applicabili

Compute Engine

Percorso compute.instances/shieldedInstanceConfig.enableVtpm
Operatore È
Valore

True

Tipo Booleano
Controlli NIST-800-53 correlati
  • SI-7
Controlli correlati del profilo CRI
  • PR.DS-6.1
Informazioni correlate

Forza l'utilizzo di OS Login per le VM

Implementazione Obbligatorio
Descrizione

Se consenti agli sviluppatori di accedere alle risorse Compute Engine utilizzando SSH, configura OS Login con la verifica in due passaggi. Utilizza OS Login per gestire le chiavi SSH con le policy IAM (Identity and Access Management) impostando il vincolo della policy dell'organizzazione compute.requireOsLogin. OS Login centralizza l'accesso alle VM collegando le autorizzazioni SSH all'identità Google e ai ruoli IAM di un utente, eliminando la necessità di gestire singole chiavi SSH su ogni macchina.

Collegare le autorizzazioni SSH all'identità di un utente è fondamentale per la sicurezza, perché la rimozione del ruolo IAM di un utente revoca immediatamente il suo accesso a tutte le istanze, proteggendo da accessi non autorizzati da account obsoleti. Il sistema semplifica la gestione delle chiavi per contribuire a prevenire la proliferazione delle chiavi e fornisce una traccia di controllo chiara e centralizzata per tutti gli eventi di accesso in Cloud Audit Logs. OS Login ti consente anche di applicare l'autenticazione a due fattori, aggiungendo un livello di protezione fondamentale contro le credenziali e le chiavi SSH rubate. Questa funzionalità blocca un malintenzionato con token OAuth compromessi, ma senza password o token di sicurezza.

L'accesso RDP (Remote Desktop Protocol) alle istanze Windows su Compute Engine non supporta il servizio OS Login, pertanto la verifica in due passaggi non può essere applicata in modo granulare per le sessioni RDP. Quando utilizzi IAP Desktop o i plug-in RDP basati su Google Chrome, imposta controlli granulari come la durata della sessione per i servizi Google e le impostazioni della verifica in due passaggi per le sessioni web dell'utente e disattiva l'impostazione Consenti all'utente di considerare attendibile il dispositivo nella verifica in due passaggi.

Prodotti applicabili

Compute Engine

Percorso compute.projects/commonInstanceMetadata.items
Operatore È
Valore

enable-oslogin=TRUE

Tipo Booleano
Controlli NIST-800-53 correlati
  • AC-2
Controlli correlati del profilo CRI
  • PR.AC-1.1
Informazioni correlate

Configurare i criteri di archiviazione dei messaggi

ID controllo Google PS-CO-4.1
Implementazione Facoltativo
Descrizione
Se pubblichi messaggi nell'endpoint Pub/Sub globale, Pub/Sub li archivia automaticamente nella regione Google Cloud più vicina. Per controllare le regioni in cui vengono archiviati i messaggi, configura una policy di archiviazione dei messaggi nell'argomento. Utilizza uno dei seguenti modi per configurare i criteri di archiviazione dei messaggi per gli argomenti:
  • Imposta una policy di archiviazione dei messaggi utilizzando il vincolo delle policy dell'organizzazione Restrizione sulla località delle risorse (gcp.resourceLocations).
  • Configura una policy di archiviazione dei messaggi durante la creazione di un argomento. Ad esempio:

    gcloud pubsub topics create TOPIC_ID \--message-storage-policy-allowed-regions=REGION1, REGION2

Prodotti applicabili
  • Servizio Policy dell'organizzazione
  • Pub/Sub
Controlli NIST-800-53 correlati
  • AC-3
  • AC-17
  • AC-20
Controlli correlati del profilo CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informazioni correlate

Disattivare gli indirizzi IP esterni per i job Dataflow

ID controllo Google DF-CO-6.1
Implementazione Facoltativo
Descrizione

Disattiva gli indirizzi IP esterni per le attività amministrative e di monitoraggio correlate ai job Dataflow. Configura invece l'accesso alle VM worker Dataflow utilizzando SSH.

Abilita l'accesso privato Google e specifica una delle seguenti opzioni nel job Dataflow:

  • --usePublicIps=false e --network=NETWORK-NAME
  • --subnetwork=SUBNETWORK-NAME

Dove:

  • NETWORK-NAME: il nome della tua rete Compute Engine.
  • SUBNETWORK-NAME: il nome della subnet di Compute Engine.
Prodotti applicabili
  • Compute Engine
  • Dataflow
Controlli NIST-800-53 correlati
  • SC-7
  • SC-8
Controlli correlati del profilo CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informazioni correlate

Utilizzare i tag di rete per le regole firewall

ID controllo Google DF-CO-6.2
Implementazione Facoltativo
Descrizione

I tag di rete sono attributi di testo che vengono collegati alle VM Compute Engine, come le VM worker Dataflow. I tag di rete consentono di applicare regole firewall di rete VPC e alcune route statiche personalizzate a istanze VM specifiche. Dataflow supporta l'aggiunta di tag di rete a tutte le VM worker che eseguono un determinato job Dataflow.

Prodotti applicabili
  • Compute Engine
  • Dataflow
Controlli NIST-800-53 correlati
  • SC-7
  • SC-8
Controlli correlati del profilo CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informazioni correlate

Controlli dei container

Questi controlli si applicano ai container all'interno di GKE.

Limitare l'accesso al control plane

ID controllo Google GKE-CO-1.1
Implementazione Obbligatorio
Descrizione

Per impostazione predefinita, il control plane e i nodi del cluster Google Kubernetes Engine (GKE) hanno indirizzi instradabili su internet a cui è possibile accedere da qualsiasi indirizzo IP. Limita l'accesso alla rete al control plane utilizzando un endpoint basato su DNS e creando cluster privati. Il control plane è il centro di gestione di un cluster Kubernetes e la sua esposizione a internet lo rende un obiettivo primario per gli autori degli attacchi. Questa configurazione rende privato il piano di controllo e lo rimuove da internet.

La limitazione dell'accesso al control plane contribuisce a garantire che solo i dispositivi attendibili all'interno della rete privata della tua organizzazione possano gestire il cluster, riducendo drasticamente il rischio di un attacco esterno.

Prodotti applicabili

GKE

Controlli NIST-800-53 correlati
  • SC-7
Controlli correlati del profilo CRI
  • PR.AC-3.1
Informazioni correlate

Utilizza regole firewall con privilegi minimi

ID controllo Google GKE-CO-1.2
Implementazione Obbligatorio
Descrizione

Quando crei regole firewall, utilizza il principio del privilegio minimo per fornire l'accesso solo per lo scopo richiesto. Se possibile, assicurati che le regole firewall non siano in conflitto con le regole firewall predefinite di GKE.

Prodotti applicabili

GKE

Controlli NIST-800-53 correlati
  • AC-3
  • AC-4
  • AC-17
  • SC-7
Informazioni correlate

Utilizzare Google Gruppi per RBAC

ID controllo Google GKE-CO-1.3
Implementazione Obbligatorio
Descrizione

Utilizza Google Gruppi per controllo dell'accesso basato sui ruoli (RBAC), che ti consente anche di integrarti con le tue pratiche di gestione degli account utente esistenti, ad esempio la revoca dell'accesso quando qualcuno lascia l'organizzazione. Google Gruppi per RBAC consente una gestione efficiente dell'accesso al cluster utilizzando Identity and Access Management (IAM) e Google Gruppi, che è adatto alla maggior parte delle organizzazioni che utilizzano Google Gruppi.

Prodotti applicabili

Google Kubernetes Engine (GKE)

Controlli NIST-800-53 correlati
  • AC-2
Controlli correlati del profilo CRI
  • PR.AC-1.1
Informazioni correlate

Abilita Shielded GKE Nodes

ID controllo Google GKE-CO-1.4
Implementazione Obbligatorio
Descrizione

Abilita Shielded GKE Nodes per la verifica crittografica dei nodi nel cluster. I nodi GKE schermati forniscono un'identità e un'integrità del nodo solide e verificabili. Abilita Shielded GKE Nodes durante la creazione o l'aggiornamento dei cluster. Ove possibile, utilizza i nodi GKE schermati con l'avvio protetto per autenticare anche i componenti di avvio delle VM dei nodi durante il processo di avvio. Non utilizzare l'avvio protetto se hai bisogno di moduli del kernel non firmati di terze parti.

Shielded GKE Nodes è abilitato per impostazione predefinita quando crei un cluster.

Prodotti applicabili

GKE

Controlli NIST-800-53 correlati
  • AC-3
  • AC-4
  • AC-17
  • SC-7
Informazioni correlate

Utilizza Container-Optimized OS con il runtime containerd

ID controllo Google GKE-CO-1.5
Implementazione Obbligatorio
Descrizione

Utilizza Container-Optimized OS per implementare un sistema operativo per i container gestito e con protezione avanzata. I sistemi operativi per uso generico includono molti programmi aggiuntivi che non sono necessari per eseguire i container e quindi creano un target più ampio e non necessario per gli autori degli attacchi. Container-Optimized OS è un sistema operativo minimale e bloccato che riduce significativamente questa superficie di attacco includendo solo ciò che è necessario. In quanto sistema operativo gestito, Container-Optimized OS dispone anche di patch di sicurezza che vengono applicate automaticamente da Google, il che contribuisce a garantire la correzione delle vulnerabilità critiche e a ridurre il carico di lavoro operativo.

Un'immagine che include Container-Optimized OS con containerd (cos_containerd) ha containerd come runtime del container principale direttamente integrato con Kubernetes. containerd è il componente di runtime principale di Docker ed è progettato per fornire la funzionalità di base del container per la Container Runtime Interface (CRI) di Kubernetes. È molto meno complesso del daemon Docker completo e quindi ha una superficie di attacco più piccola.

Prodotti applicabili

Container-Optimized OS

Controlli NIST-800-53 correlati
  • CM-7
  • SC-7
  • SC-38
  • SI-2
  • SI-7
Controlli correlati del profilo CRI
  • PR.PT-3.1
Informazioni correlate

Utilizzare Workload Identity Federation for GKE

ID controllo Google GKE-CO-1.6
Implementazione Obbligatorio
Descrizione

Utilizza la federazione delle identità per i carichi di lavoro per GKE per eseguire l'autenticazione in modo sicuro nelle API dai carichi di lavoro di Google Kubernetes Engine (GKE). Google Cloud Workload Identity Federation for GKE offre un'alternativa più semplice e sicura all'utilizzo delle chiavi dei account di servizio.

Prodotti applicabili

GKE

Controlli NIST-800-53 correlati
  • IA-2
Controlli correlati del profilo CRI
  • PR.AC-1.1
Informazioni correlate

Abilita GKE Sandbox

ID controllo Google GKE-CO-1.7
Implementazione Obbligatorio
Descrizione

Utilizza GKE Sandbox per fornire un ulteriore livello di sicurezza per impedire che il codice non attendibile influenzi il kernel host sui nodi del cluster Google Kubernetes Engine (GKE). GKE Sandbox migliora l'isolamento dei carichi di lavoro non attendibili o sensibili, fornendo un ulteriore livello di protezione dagli attacchi di container escape.

Prodotti applicabili

GKE

Controlli NIST-800-53 correlati
  • SC-39
Controlli correlati del profilo CRI
  • PR.DS-1.1
Informazioni correlate

Disabilita la porta di sola lettura di Kubelet

ID controllo Google GKE-CO-1.9
Implementazione Obbligatorio
Descrizione

Disabilita la porta di sola lettura kubelet 10255 e utilizza la porta più sicura 10250. Kubernetes non esegue controlli di autenticazione o autorizzazione su questa porta. Kubelet gestisce gli stessi endpoint sulla porta 10250, più sicura e autenticata.

Puoi disabilitare la porta di sola lettura kubelet non sicura solo in GKE versione 1.26.4-gke.500 o successive.

Prodotti applicabili

GKE

Controlli NIST-800-53 correlati
  • AC-3
  • SC-7
Informazioni correlate

Utilizzare lo spazio dei nomi e RBAC per limitare l'accesso alle risorse del cluster

ID controllo Google GKE-CO-1.10
Implementazione Obbligatorio
Descrizione

Crea spazi dei nomi o cluster separati per ogni team e ambiente per implementare l'accesso con privilegi minimi a Kubernetes. Assegna centri di costo ed etichette appropriate a ogni spazio dei nomi per la responsabilità e il riaddebito. Concedi agli sviluppatori solo il livello di accesso allo spazio dei nomi necessario per eseguire il deployment e gestire la propria applicazione, soprattutto in produzione. Mappa le attività che gli utenti devono svolgere sul cluster e definisci le autorizzazioni necessarie per svolgere ogni attività.

Assegna i ruoli Identity and Access Management (IAM) appropriati per Google Kubernetes Engine (GKE) a gruppi e utenti per fornire le autorizzazioni a livello di progetto e utilizza RBAC per concedere le autorizzazioni a livello di cluster e spazio dei nomi.

Prodotti applicabili
  • GKE
  • IAM
Controlli NIST-800-53 correlati
  • AC-3
  • AC-4
  • AC-6
Informazioni correlate

Limitare il traffico tra i pod

ID controllo Google GKE-CO-1.11
Implementazione Obbligatorio
Descrizione

Per impostazione predefinita, tutti i pod di un cluster possono comunicare tra loro. Controlla la comunicazione da pod a pod in base alle esigenze dei tuoi carichi di lavoro. Limitare l'accesso di rete ai servizi rende molto più difficile per gli autori di attacchi spostarsi lateralmente all'interno del cluster e offre anche ai servizi una certa protezione contro il denial of service accidentale o intenzionale.

Esistono due modi per controllare il traffico:

  • Utilizza Cloud Service Mesh o Istio per il bilanciamento del carico, l'autorizzazione dei servizi, la limitazione, la quota, le metriche e altro ancora.
  • Utilizza i criteri di rete di Kubernetes. Scegli questa opzione se cerchi la funzionalità di controllo dell'accesso di base esposta da Kubernetes.
Prodotti applicabili

GKE

Controlli NIST-800-53 correlati
  • AC-3
  • AC-4
  • SC-7
Informazioni correlate

Utilizzare i controller di ammissione per applicare i criteri

ID controllo Google GKE-CO-1.12
Implementazione Obbligatorio
Descrizione

I controller di ammissione sono plug-in che regolano e applicano le modalità di utilizzo del cluster. Consenti loro di utilizzare alcune delle funzionalità di sicurezza più avanzate di Kubernetes, perché sono una parte importante dell'approccio di difesa in profondità per proteggere il cluster. Per impostazione predefinita, i pod in Kubernetes possono operare con funzionalità superiori a quelle richieste. Utilizza i controlli di ammissione per limitare le funzionalità del pod solo a quelle richieste per il workload.

GKE supporta numerosi controlli per limitare l'esecuzione dei pod alle funzionalità esplicitamente concesse. Ad esempio, Policy Controller è disponibile per i cluster nei parchi risorse. Kubernetes dispone anche del controller di ammissione PodSecurity integrato che ti consente di applicare gli standard di sicurezza dei pod nei singoli cluster. Policy Controller è una funzionalità di GKE che ti consente di applicare e convalidare la sicurezza sui cluster GKE su larga scala utilizzando policy dichiarative.

Prodotti applicabili

GKE

Controlli NIST-800-53 correlati
  • CM-2
  • CM-3
  • CM-6
  • CM-7
Informazioni correlate

Limitare la capacità dei workload di automodificarsi

ID controllo Google GKE-CO-1.13
Implementazione Obbligatorio
Descrizione

Alcuni carichi di lavoro Kubernetes, in particolare quelli di sistema, hanno l'autorizzazione a modificarsi autonomamente. Ad esempio, alcuni carichi di lavoro vengono scalati automaticamente in verticale. Sebbene sia comoda, la modifica automatica può consentire a un malintenzionato che ha già compromesso un nodo di ottenere privilegi più elevati nel cluster. Ad esempio, un attaccante potrebbe fare in modo che un workload sul nodo venga eseguito come un account di servizio con più privilegi esistente nello stesso spazio dei nomi.

Non concedere ai workload l'autorizzazione a modificarsi per impostazione predefinita. Quando è necessaria l'automodifica, limita le autorizzazioni applicando i vincoli di Gatekeeper o Policy Controller, ad esempio NoUpdateServiceAccount dalla libreria open source Gatekeeper, che fornisce diverse policy di sicurezza utili.

Quando implementi i criteri, consenti ai controller che gestiscono il ciclo di vita del cluster di ignorarli. I controller devono apportare modifiche al cluster, ad esempio applicare gli upgrade del cluster. Ad esempio, se esegui il deployment del criterio NoUpdateServiceAccount su GKE, devi impostare i seguenti parametri nel vincolo:

parameters: allowedGroups: - system:masters allowedUsers: - system:addon-manager
Prodotti applicabili

GKE

Controlli NIST-800-53 correlati
  • AC-3
  • CM-3
  • SI-7
Informazioni correlate

Monitorare le configurazioni del cluster

ID controllo Google GKE-CO-1.14
Implementazione Obbligatorio
Descrizione

Controlla le configurazioni dei cluster per verificare eventuali deviazioni dalle impostazioni definite. Le impostazioni trattate in queste best practice, nonché altre configurazioni errate comuni, possono essere controllate automaticamente utilizzando Security Command Center.

Prodotti applicabili
  • GKE
  • Security Command Center
Controlli NIST-800-53 correlati
  • SI-4
  • SI-5
  • RA-5
Informazioni correlate

Applica Autorizzazione binaria

ID controllo Google BIN-CO-1.1
Implementazione Obbligatorio
Descrizione

Utilizza l'autorizzazione binaria per assicurarti che le immagini attendibili vengano sottoposte a deployment su Google Kubernetes Engine (GKE) e Cloud Run. Autorizzazione binaria contribuisce a garantire che nei tuoi cluster possano essere implementate solo immagini container verificate e attendibili, rafforzando la sicurezza della catena di fornitura del software.

Prodotti applicabili
  • GKE
  • Autorizzazione binaria
  • Cloud Run
Percorso constraints/binaryauthorization.requireBinauthz
Operatore ==
Valore

True

Controlli NIST-800-53 correlati
  • SI-7
Controlli correlati del profilo CRI
  • PR.DS-6.1
Informazioni correlate

Usa GKE Autopilot

Implementazione Obbligatorio
Descrizione

Utilizza i cluster Google Kubernetes Engine (GKE) Autopilot. I cluster Autopilot offrono solide misure di sicurezza, con molte best practice di sicurezza per container o GKE abilitate per impostazione predefinita.

Prodotti applicabili

GKE

Percorso container.clusters/autopilot.enabled
Operatore È
Valore

True

Tipo Booleano
Controlli NIST-800-53 correlati
  • CM-2
Controlli correlati del profilo CRI
  • PR.IP-1.1
Informazioni correlate

Utilizza account con privilegio minimo per i cluster e i nodi GKE

Implementazione Obbligatorio
Descrizione

Utilizza i service account Identity and Access Management (IAM) con privilegi minimi per i cluster e i nodi Google Kubernetes Engine (GKE). L'accesso al control plane GKE è limitato a un singolo endpoint basato su DNS. L'implementazione del privilegio minimo riduce significativamente la superficie di attacco senza la necessità di ulteriori regole firewall o host bastion.

Prodotti applicabili

GKE

Percorso container.clusters/nodeConfig.serviceAccount
Operatore !=
Valore

default

Tipo Stringa
Controlli NIST-800-53 correlati
  • AC-6
Controlli correlati del profilo CRI
  • PR.AC-4.1
Informazioni correlate

Utilizzare nodi GKE privati

Implementazione Obbligatorio
Descrizione

Crea nodi privati per ridurre l'esposizione a internet. I nodi Google Kubernetes Engine (GKE) privati contribuiscono a ridurre l'esposizione a internet garantendo che i nodi GKE non abbiano un indirizzo IP pubblico.

Prodotti applicabili

GKE

Percorso container.clusters/networkConfig.defaultEnablePrivateNodes
Operatore È
Valore

True

Tipo Booleano
Controlli NIST-800-53 correlati
  • SC-7
Controlli correlati del profilo CRI
  • PR.AC-3.1
Informazioni correlate

Utilizzare i nodi Google Kubernetes Engine confidenziali

Implementazione Obbligatorio
Descrizione

Utilizza Confidential GKE Node per applicare la crittografia dei dati in uso nei nodi e nei carichi di lavoro. I Confidential GKE Node contribuiscono a proteggere i carichi di lavoro altamente sensibili criptando i dati in uso tramite Confidential Computing.

Prodotti applicabili

Google Kubernetes Engine (GKE)

Percorso container.clusters/confidentialNodes.enabled
Operatore È
Valore

True

Tipo Booleano
Controlli NIST-800-53 correlati
  • SC-28
Controlli correlati del profilo CRI
  • PR.DS-1.1
Informazioni correlate

Esegui un'autorità di certificazione personalizzata in GKE

Implementazione Obbligatorio
Descrizione

Esegui le tue autorità di certificazione per gestire le chiavi in Google Kubernetes Engine (GKE). L'utilizzo delle tue autorità di certificazione offre un maggiore controllo sulle operazioni crittografiche. Per richiedere l'accesso a questa funzionalità, contatta il team dedicato all'account Google Cloud .

Prodotti applicabili

GKE

Percorso container.clusters/userManagedKeysConfig.clusterCa
Operatore È impostato
Tipo Stringa
Controlli NIST-800-53 correlati
  • SC-12
Controlli correlati del profilo CRI
  • PR.DS-1.1
Informazioni correlate

Cripta i secret di Kubernetes utilizzando Cloud KMS

Implementazione Obbligatorio
Descrizione

Cripta i secret di Kubernetes a riposo utilizzando le chiavi gestite di Cloud Key Management Service (Cloud KMS). Cloud KMS fornisce un ulteriore livello di sicurezza per i dati etcd consentendoti di criptare i secret di Kubernetes con una chiave di tua proprietà e gestione.

Prodotti applicabili
  • GKE
  • Cloud KMS
Percorso container.clusters/databaseEncryption.keyName
Operatore È impostato
Tipo Stringa
Controlli NIST-800-53 correlati
  • SC-28
Controlli correlati del profilo CRI
  • PR.DS-1.1
Informazioni correlate

Utilizza CMEK per i dischi di avvio dei nodi

Implementazione Obbligatorio
Descrizione

Utilizza le chiavi di crittografia gestite dal cliente (CMEK) per la crittografia del disco di avvio del nodo. CMEK ti consente di criptare il disco di avvio di un nodo Kubernetes con una chiave di tua proprietà e gestione.

Prodotti applicabili
  • Cloud Key Management Service
  • GKE
Percorso container.clusters/nodeConfig.bootDiskKmsKey
Operatore È impostato
Tipo Stringa
Controlli NIST-800-53 correlati
  • SC-28
Controlli correlati del profilo CRI
  • PR.DS-1.1
Informazioni correlate

Controlli VMware Engine

Limita le assegnazioni del ruolo di amministratore per VMware Engine

ID controllo Google GCVE-CO-3.1
Implementazione Obbligatorio
Descrizione

Concedi i ruoli di amministratore solo ai service account che eseguono il deployment e la configurazione dei cloud privati Google Cloud VMware Engine e a un numero limitato di amministratori. In genere, l'aggiunta o l'eliminazione manuale di cluster e nodi è un'azione che non si verifica di frequente e potrebbe avere un impatto elevato sulla fatturazione o sulla disponibilità del cluster.

Assicurati di controllare regolarmente a chi è stato assegnato il ruolo Amministratore del servizio VMware Engine, direttamente nel progetto utilizzato per VMware Engine o in uno dei livelli principali della gerarchia delle risorse. Questo controllo deve includere altri ruoli, come i ruoli di base Editor e Proprietario, che includono autorizzazioni critiche relative a VMware Engine. Puoi utilizzare servizi come il motore per suggerimenti sui ruoli IAM per identificare i ruoli con privilegi eccessivi.

Prodotti applicabili
  • VMware Engine
  • IAM
Controlli NIST-800-53 correlati
  • AC-2
  • AC-3
  • AC-6
Controlli correlati del profilo CRI
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
Informazioni correlate

Utilizza il ruolo Visualizzatore del servizio VMware Engine per il privilegio minimo

ID controllo Google GCVE-CO-3.3
Implementazione Obbligatorio
Descrizione

Concedi il ruolo Visualizzatore servizio VMware Engine agli utenti per impostazione predefinita e solo se necessario. Il ruolo Visualizzatore del servizio VMware Engine fornisce accesso di sola lettura a Google Cloud VMware Engine su Google Cloud ed è progettato per essere sufficiente per la maggior parte delle attività.

Prodotti applicabili
  • VMware Engine
  • IAM
Controlli NIST-800-53 correlati
  • AC-2
  • AC-3
  • AC-6
Controlli correlati del profilo CRI
  • PR.AC-4.1
  • PR.AC-4.3
  • PR.AC-6.1
Informazioni correlate

Utilizza RBAC e il principio del privilegio minimo per i ruoli di vCenter Server Appliance

ID controllo Google GCVE-CO-3.4
Implementazione Obbligatorio
Descrizione

Quando concedi ruoli a livello VMware in vCenter Server Appliance, utilizza il controllo degli accessi basato sui ruoli (RBAC) e il principio del privilegio minimo.

Prodotti applicabili

VMware Engine

Controlli NIST-800-53 correlati
  • AC-2
  • AC-3
  • AC-6
Controlli correlati del profilo CRI
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
Informazioni correlate

Utilizzare la federazione delle identità per gli utenti VMware

ID controllo Google GCVE-CO-3.5
Implementazione Obbligatorio
Descrizione

Gestire una singola soluzione di identità in cui puoi eseguire il provisioning e gestire gli account utente. Questa pratica consigliata ti consente di centralizzare attività come la gestione del ciclo di vita delle identità, la gestione dei gruppi e la gestione delle password. Evita di creare una strategia di identità frammentata.

Prodotti applicabili

VMware Engine

Controlli NIST-800-53 correlati
  • AC-2
  • AC-3
Controlli correlati del profilo CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
Informazioni correlate

Assegna i ruoli ai gruppi anziché a singole persone per vCenter Server Appliance

ID controllo Google GCVE-CO-3.6
Implementazione Obbligatorio
Descrizione

Quando concedi ruoli a livello di VMware in vCenter Server Appliance, concedi i ruoli ai gruppi che crei nel tuo provider di identità. Non creare una strategia di identità frammentata.

Prodotti applicabili

VMware Engine

Controlli NIST-800-53 correlati
  • AC-2
  • AC-3
  • AC-6
Controlli correlati del profilo CRI
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-6.1
Informazioni correlate

Non assegnare il ruolo Proprietario cloud ai gruppi di utenti in vSphere

ID controllo Google GCVE-CO-3.7
Implementazione Obbligatorio
Descrizione

Quando crei gruppi di utenti in vSphere, non assegnare il ruolo Cloud-Proprietario. Questo ruolo concede il controllo amministrativo sull'ambiente vCenter del tuo cloud privato, limitando al contempo determinate autorizzazioni dell'infrastruttura globale sottostante. I gruppi di utenti con autorizzazioni superiori al ruolo Cloud-Proprietario-Role vengono reimpostati automaticamente su Cloud-Proprietario-Role.

Prodotti applicabili

VMware Engine

Controlli NIST-800-53 correlati
  • AC-2
  • AC-3
  • AC-6
Controlli correlati del profilo CRI
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
Informazioni correlate

Evita di utilizzare i service account predefiniti di vCenter e NSX-T

ID controllo Google GCVE-CO-3.8
Implementazione Obbligatorio
Descrizione

Ad eccezione del processo di configurazione iniziale e delle procedure di emergenza, non utilizzare il account di servizio vCenter predefinito (CloudOwner@gve.local) e l'amministratore del account di servizio NSX-T predefinito (admin). Questi service account predefiniti includono autorizzazioni potenti come Cloud-Proprietario-Role e Enterprise Admin. Salva le credenziali per questi service account in Secret Manager.

Prodotti applicabili

VMware Engine

Controlli NIST-800-53 correlati
  • AC-2
  • IA-2
  • SC-28
Controlli correlati del profilo CRI
  • PR.AC-1.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
Informazioni correlate

Ruota le password per i service account vCenter e NSX-T predefiniti ogni 90 giorni

ID controllo Google GCVE-CO-3.9
Implementazione Obbligatorio
Descrizione

Per prevenire e mitigare la divulgazione non autorizzata delle credenziali per il account di servizio vCenter predefinito (CloudOwner@gve.local) e l'amministratore del account di servizio NSX-T predefinito (admin), ruota le password ogni 90 giorni.

Prodotti applicabili

VMware Engine

Controlli NIST-800-53 correlati
  • AC-2
Controlli correlati del profilo CRI
  • PR.AC-1.2
Informazioni correlate

Utilizzare il firewall del gateway NSX per segmentare il traffico nord-sud

ID controllo Google GCVE-CO-1.2
Implementazione Obbligatorio
Descrizione

Controlla il traffico di rete nord-sud che entra ed esce dai tuoi cloud privati utilizzando NSX Gateway Firewall. I firewall NSX Gateway sono firewall nord-sud che aiutano a proteggere i perimetri.

Prodotti applicabili

VMware Engine

Controlli NIST-800-53 correlati
  • AC-4
  • SC-7
Controlli correlati del profilo CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.PT-4.1
Informazioni correlate

Utilizza NSX Distributed Firewall per segmentare il traffico est-ovest

ID controllo Google GCVE-CO-1.3
Implementazione Obbligatorio
Descrizione

Controlla il traffico di rete est-ovest all'interno del tuo cloud privato utilizzando NSX Distributed Firewall (DFW). Per impostazione predefinita, tutte le subnet possono comunicare tra loro. Utilizza DFW per definire il traffico consentito tra applicazioni e servizi all'interno dell'applicazione.

Prodotti applicabili

VMware Engine

Controlli NIST-800-53 correlati
  • AC-4
  • SC-7
Controlli correlati del profilo CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.PT-4.1
Informazioni correlate

Crea subnet separate per i carichi di lavoro con requisiti di sicurezza diversi

ID controllo Google GCVE-CO-1.4
Implementazione Obbligatorio
Descrizione

Se esegui carichi di lavoro con requisiti di sicurezza o classificazioni dei dati diversi, crea subnet del carico di lavoro per separarli. Le subnet consentono di ridurre il potenziale raggio di impatto non mescolando carichi di lavoro con requisiti e posture di sicurezza diversi.

Prodotti applicabili

VMware Engine

Controlli NIST-800-53 correlati
  • AC-4
  • AC-20
  • SC-7
Controlli correlati del profilo CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.PT-4.1
Informazioni correlate

Crea un sink di log per archiviare gli audit log di VMware Engine

ID controllo Google GCVE-CO-4.1
Implementazione Obbligatorio
Descrizione

Utilizza un sink di log per archiviare i log di controllo dell'API Google Cloud VMware Engine. Puoi instradare gli audit log a destinazioni diverse in base alle esigenze.

Prodotti applicabili

VMware Engine

Controlli NIST-800-53 correlati
  • AU-2
  • AU-3
  • AU-6
  • AU-7
Controlli correlati del profilo CRI
  • PR.IP-1.4
  • DM.ED-7.1
Informazioni correlate

Raccogliere i log della piattaforma a livello VMware

ID controllo Google GCVE-CO-4.2
Implementazione Obbligatorio
Descrizione

Per raccogliere i log della piattaforma a livello VMware (ad esempio i messaggi syslog di vCenter e NSX-T), configura i cloud privati Google Cloud VMware Engine per inoltrare i log syslog a un aggregatore di log centralizzato. Questi log non vengono raccolti negli audit log di VMware Engine e devono essere raccolti separatamente.

Prodotti applicabili

VMware Engine

Controlli NIST-800-53 correlati
  • AU-2
  • AU-3
  • AU-6
  • AU-7
Controlli correlati del profilo CRI
  • PR.IP-1.4
  • DM.ED-7.1
Informazioni correlate

Monitorare le applicazioni utilizzando Logging e Monitoring

ID controllo Google GCVE-CO-4.3
Implementazione Obbligatorio
Descrizione

Installa l'agente autonomo per abilitare Cloud Logging e Cloud Monitoring dalla piattaforma VMware vSphere. L'agente autonomo ti consente di raccogliere i log a livello di workload e inviarli a Logging e Monitoring per l'analisi e l'archiviazione.

Prodotti applicabili
  • VMware Engine
  • Logging
  • Cloud Monitoring
Controlli NIST-800-53 correlati
  • AU-2
  • AU-3
  • AU-6
  • AU-7
Controlli correlati del profilo CRI
  • PR.IP-1.4
  • DM.ED-7.1
Informazioni correlate

Crea cloud privati nelle regioni che corrispondono ai tuoi requisiti di residenza dei dati

ID controllo Google GCVE-CO-2.1
Implementazione Obbligatorio
Descrizione

Crea cloud privati Google Cloud VMware Engine in regioni che corrispondono ai requisiti di residenza dei dati della tua organizzazione. I cloud privati sono risorse di provisioning di lunga durata che non sono semplici da implementare e spostare.

Prodotti applicabili

VMware Engine

Controlli NIST-800-53 correlati
  • CP-2
  • SC-7
  • SC-32
Controlli correlati del profilo CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informazioni correlate

Implementare una strategia di backup e ripristino di emergenza

ID controllo Google GCVE-CO-5.1
Implementazione Obbligatorio
Descrizione

Implementa il servizio di backup e DR o una soluzione di backup di terze parti per i workload. Per impostazione predefinita, Google Cloud VMware Engine esegue automaticamente il backup solo della configurazione di vCenter e NSX. Backup e RE semplifica il backup e il ripristino delle VM.

Prodotti applicabili
  • VMware Engine
  • Backup e DR
Controlli NIST-800-53 correlati
  • CP-2
  • CP-6
  • CP-9
  • CP-10
Controlli correlati del profilo CRI
  • PR.IP-4.1
  • PR.IP-4.2
Informazioni correlate

Implementa la crittografia a livello di applicazione per i carichi di lavoro VMware

ID controllo Google GCVE-CO-1.1
Implementazione Obbligatorio
Descrizione

Assicurati che le applicazioni eseguite su Google Cloud VMware Engine criptino il traffico. VMware Engine non cripta il traffico dei workload in transito.

Prodotti applicabili

VMware Engine

Controlli NIST-800-53 correlati
  • SC-8
  • SC-13
Controlli correlati del profilo CRI
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informazioni correlate

Abilita la crittografia dei dati in transito sui cluster VMware vSAN

ID controllo Google GCVE-CO-2.3
Implementazione Obbligatorio
Descrizione

Attiva la crittografia dei dati in transito sui cluster VMware vSAN per criptare dati, metadati e traffico del servizio file.

Prodotti applicabili

VMware Engine

Controlli NIST-800-53 correlati
  • SC-8
Controlli correlati del profilo CRI
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informazioni correlate

Configura la crittografia dei dati inattivi di vSAN in modo che utilizzi CMEK

ID controllo Google GCVE-CO-2.2
Implementazione Obbligatorio
Descrizione

Se richiesto dal tuo ambiente normativo, configura la crittografia dei dati at-rest di vSAN in modo che utilizzi le chiavi di crittografia gestite dal cliente (CMEK).

Prodotti applicabili
  • VMware Engine
  • Cloud KMS
Controlli NIST-800-53 correlati
  • SC-12
  • SC-28
Controlli correlati del profilo CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-5.1
Informazioni correlate

Ruotare le chiavi utilizzate per la crittografia dei dati at-rest di vSAN

ID controllo Google GCVE-CO-2.4
Implementazione Obbligatorio
Descrizione

Gestisci il ciclo di vita delle chiavi di crittografia della chiave (KEK) che utilizzi per la crittografia dei dati at-rest di vSAN. Implementa una procedura di rotazione delle chiavi in linea con i requisiti della tua organizzazione.

Prodotti applicabili
  • VMware Engine
  • Cloud KMS
Controlli NIST-800-53 correlati
  • SC-12
Controlli correlati del profilo CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-5.1
Informazioni correlate

Passaggi successivi