基礎架構控制項

本文提供 Google Cloud服務 (例如 Pub/Sub、Dataflow 和 Cloud Run functions) 的最佳做法和指南,適用於在Google Cloud上執行工作負載的情況。

定義可啟用 IP 轉送功能的 VM 執行個體

Google 控制項 ID VPC-CO-6.3
實作 必填
說明
compute.vmCanIpForward 限制會定義可啟用 IP 轉送功能的 VM 執行個體。根據預設,任何 VM 都可在任何虛擬網路中啟用 IP 轉送功能。請使用下列其中一種格式指定 VM 執行個體:
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME
這項限制不會溯及既往。
適用產品
  • 組織政策服務
  • 虛擬私有雲 (VPC)
  • Compute Engine
路徑 constraints/compute.vmCanIpForward
運算子 =
  • Your list of VM instances that can enable IP forwarding.
類型 清單
相關的 NIST-800-53 控制項
  • SC-7
  • SC-8
相關的 CRI 設定檔控制項
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相關資訊

停用 VM 巢狀虛擬化功能

Google 控制項 ID VPC-CO-6.6
實作 必填
說明
compute.disableNestedVirtualization 布林限制會停用 Compute Engine VM 的硬體加速式巢狀虛擬化功能。
適用產品
  • 組織政策服務
  • 虛擬私有雲 (VPC)
  • Compute Engine
路徑 constraints/compute.disableNestedVirtualization
運算子 Is
  • True
類型 布林值
相關的 NIST-800-53 控制項
  • SC-7
  • SC-8
相關的 CRI 設定檔控制項
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相關資訊

限制 VM 的外部 IP 位址

Google 控制項 ID VPC-CO-6.2
實作 必填
說明

除非必要,否則請禁止建立具有公開 IP 位址的 Compute Engine 執行個體。compute.vmExternalIpAccess 清單限制會定義可擁有外部 IP 位址的一組 Compute Engine VM 執行個體。

禁止 Compute Engine 執行個體使用外部 IP 位址,大幅降低執行個體暴露於網際網路的風險。只要執行個體有外部 IP 位址,就會立即遭到探索,並成為自動掃描、暴力攻擊和嘗試利用安全漏洞的直接目標。請改為要求執行個體使用私人 IP 位址,並透過受控管、經過驗證且已記錄的路徑 (例如 Identity-Aware Proxy (IAP) 通道或堡壘主機) 管理存取權。

採用預設拒絕的態度是確保安全的最佳基礎做法,有助於縮小攻擊面,並對網路強制執行零信任方法。這項限制不會溯及既往。
適用產品
  • 組織政策服務
  • 虛擬私有雲 (VPC)
  • Compute Engine
路徑 constraints/compute.vmExternalIpAccess
運算子 =
  • The list of VM instances in your organization that can have external IP addresses.
類型 清單
相關的 NIST-800-53 控制項
  • SC-7
  • SC-8
相關的 CRI 設定檔控制項
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相關資訊

為 VM 執行個體定義允許的外部 IP 位址

Google 控制項 ID CBD-CO-6.3
實作 必填
說明

compute.vmExternalIpAccess 清單限制條件可讓您不指派外部 IP 位址,藉此限制虛擬機器的外部存取權。設定這項清單限制,拒絕虛擬機器的所有外部 IP 位址。
適用產品
  • 組織政策服務
  • Compute Engine
路徑 compute.vmExternalIpAccess
運算子 =
  • Deny All
類型 清單
相關的 NIST-800-53 控制項
  • AC-3
  • AC-12
  • AC-17
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
相關資訊

Cloud Run 函式必須使用虛擬私有雲連接器

Google 控制項 ID CF-CO-4.4
實作 必填
說明

cloudfunctions.requireVPCConnector 布林限制會要求管理員在部署 Cloud Run 函式時,指定無伺服器 VPC 存取連接器。強制執行後,函式必須指定連接器。
適用產品
  • 組織政策服務
  • Cloud Run 函式
路徑 constraints/cloudfunctions.requireVPCConnector
運算子 =
  • True
類型 布林值
相關的 NIST-800-53 控制項
  • SC-7
  • SC-8
相關的 CRI 設定檔控制項
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相關資訊

設定訊息儲存政策

Google 控制項 ID PS-CO-4.1
實作 選用
說明
如果您發布訊息至全球性 Pub/Sub 端點,Pub/Sub 會自動將訊息儲存在最靠近的 Google Cloud 區域。如要控管訊息會儲存到哪些區域,請為主題設定訊息儲存政策。如要為主題設定訊息儲存政策,請使用下列其中一種方法:
  • 使用「資源位置限制」(gcp.resourceLocations) 組織政策限制,設定訊息儲存政策。
  • 建立主題時,請設定訊息儲存政策。例如:

    gcloud pubsub topics create TOPIC_ID \--message-storage-policy-allowed-regions=REGION1, REGION2
適用產品
  • 組織政策服務
  • Pub/Sub
相關的 NIST-800-53 控制項
  • AC-3
  • AC-17
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相關資訊

關閉 Dataflow 工作的外部 IP 位址

Google 控制項 ID DF-CO-6.1
實作 選用
說明

關閉外部 IP 位址,以執行與 Dataflow 工作相關的管理和監控任務。請改用 SSH 設定 Dataflow worker VM 的存取權。

啟用 Private Google Access,並在 Dataflow 工作中指定下列其中一個選項:

  • --usePublicIps=false--network=NETWORK-NAME
  • --subnetwork=SUBNETWORK-NAME

其中:

  • NETWORK-NAME:Compute Engine 網路的名稱。
  • SUBNETWORK-NAME:Compute Engine 子網路的名稱。
適用產品
  • Compute Engine
  • Dataflow
相關的 NIST-800-53 控制項
  • SC-7
  • SC-8
相關的 CRI 設定檔控制項
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相關資訊

使用防火牆規則的網路標記

Google 控制項 ID DF-CO-6.2
實作 選用
說明

網路標記是附加至 Compute Engine VM (例如 Dataflow worker VM) 的文字屬性,可讓您建立適用於特定 VM 執行個體的虛擬私有雲網路防火牆規則和部分自訂靜態路徑。Dataflow 支援將網路標記新增至執行特定 Dataflow 工作的所有 worker VM。
適用產品
  • Compute Engine
  • Dataflow
相關的 NIST-800-53 控制項
  • SC-7
  • SC-8
相關的 CRI 設定檔控制項
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相關資訊

後續步驟