Kontrol fondasi perusahaan yang aman

Gunakan batasan boolean automaticIamGrantsForDefaultServiceAccounts untuk menonaktifkan pemberian peran otomatis saat Google Cloud layanan otomatis membuat akun layanan default dengan peran yang terlalu permisif.

Secara default, beberapa sistem memberikan izin yang terlalu luas ke akun otomatis, yang merupakan potensi risiko keamanan. Misalnya, jika Anda tidak menerapkan batasan ini dan Anda membuat akun layanan default, akun layanan tersebut akan otomatis diberi peran Editor (roles/editor) di project Anda. Jika penyerang menyusupi satu bagian sistem, penyerang dapat mengontrol seluruh project. Batasan ini menonaktifkan izin otomatis tingkat tinggi tersebut, sehingga memaksa pendekatan yang lebih aman dan disengaja, di mana hanya izin yang diperlukan secara minimal yang diberikan.

Gunakan batasan boolean iam.disableServiceAccountKeyCreation untuk menonaktifkan pembuatan kunci akun layanan eksternal. Batasan ini memungkinkan Anda mengontrol penggunaan kredensial jangka panjang yang tidak dikelola untuk akun layanan. Jika batasan ini ditetapkan, Anda tidak dapat membuat kredensial yang dikelola pengguna untuk akun layanan di project yang terpengaruh oleh batasan tersebut.

Gunakan batasan boolean iam.disableServiceAccountKeyUpload untuk menonaktifkan upload kunci publik eksternal ke akun layanan. Jika batasan ini ditetapkan, pengguna tidak dapat mengupload kunci publik ke akun layanan dalam project yang terpengaruh oleh batasan tersebut.

Google merekomendasikan Kunci Keamanan Titan untuk verifikasi 2 langkah (2SV) untuk akun admin super. Namun, untuk kasus penggunaan yang tidak memungkinkan hal ini, sebaiknya gunakan kunci keamanan lain sebagai alternatif.

Menerapkan verifikasi 2 langkah (2SV) untuk unit organisasi (OU) tertentu atau seluruh organisasi. Sebaiknya buat OU untuk admin super dan terapkan Verifikasi 2 Langkah di OU tersebut.

Tidak memiliki satu-satunya admin super atau Administrator Organisasi. Buat satu atau beberapa (hingga 20) akun administrator cadangan. Satu-satunya admin super atau Administrator Organisasi dapat menyebabkan skenario terkunci. Situasi ini juga membawa risiko yang lebih tinggi karena satu orang dapat membuat perubahan yang memengaruhi platform, yang berpotensi tanpa pengawasan.

Tag memberikan cara untuk membuat anotasi untuk resource, dan dalam beberapa kasus, mengizinkan atau menolak kebijakan secara bersyarat berdasarkan apakah resource memiliki tag tertentu. Gunakan tag dan penerapan kebijakan bersyarat untuk mendapatkan kontrol yang terperinci di seluruh hierarki resource Anda.

Gunakan Cloud Audit Logs untuk memantau aktivitas berisiko tinggi, seperti akun yang diberi peran berisiko tinggi seperti Admin Organisasi dan Admin Super. Siapkan notifikasi untuk jenis aktivitas ini.

Untuk menghindari pemberian akses yang berlebihan ke Google Cloud, blokir akses ke Cloud Shell untuk akun pengguna yang dikelola Cloud Identity.

Dengan Akses Kontekstual, Anda dapat membuat kebijakan keamanan kontrol akses terperinci untuk aplikasi berdasarkan berbagai atribut, seperti identitas pengguna, lokasi, status keamanan perangkat, dan alamat IP. Sebaiknya gunakan Akses Kontekstual untuk membatasi akses ke konsol Google Cloud (https://console.cloud.google.com/) dan konsol Google Admin (https://admin.cloud.google.com).

Google Cloud mendukung beberapa versi protokol TLS. Untuk memenuhi persyaratan kepatuhan, Anda mungkin ingin menolak permintaan handshake dari klien yang menggunakan versi TLS yang lebih lama.

Untuk mengonfigurasi kontrol ini, gunakan batasan kebijakan organisasi Membatasi Versi TLS (gcp.restrictTLSVersion). Anda dapat menerapkan batasan ini ke organisasi, folder, atau project dalam hierarki resource. Batasan Restrict TLS Versions menggunakan daftar yang tidak diizinkan, yang menolak nilai eksplisit dan mengizinkan semua nilai lainnya. Error terjadi jika Anda mencoba menggunakan daftar yang diizinkan.

Karena perilaku evaluasi hierarki kebijakan organisasi, pembatasan versi TLS berlaku untuk node resource yang ditentukan dan semua folder serta projectnya (turunan). Misalnya, jika Anda menolak TLS versi 1.0 untuk organisasi, TLS versi 1.0 juga akan ditolak untuk semua turunan yang berasal dari organisasi tersebut.

Anda dapat mengganti pembatasan versi TLS yang diwariskan dengan memperbarui kebijakan organisasi pada resource turunan. Misalnya, jika kebijakan organisasi Anda menolak TLS 1.0 di tingkat organisasi, Anda dapat menghapus batasan untuk folder turunan dengan menetapkan kebijakan organisasi terpisah pada folder tersebut. Jika folder memiliki turunan, kebijakan folder juga akan diterapkan pada setiap resource turunan karena pewarisan kebijakan.

Untuk lebih membatasi versi TLS hanya ke TLS 1.3, Anda dapat menetapkan kebijakan ini untuk juga membatasi versi TLS 1.2. Anda harus menerapkan kontrol ini pada aplikasi yang Anda hosting di dalam Google Cloud. Misalnya, di tingkat organisasi, tetapkan:

["TLS_VERSION_1","TLS_VERSION_1.1","TLS_VERSION_1.2"]

Pastikan hanya identitas dari organisasi Anda yang diizinkan di Google Cloud lingkungan Anda. Gunakan batasan kebijakan organisasi Berbagi yang dibatasi domain (iam.allowedPolicyMemberDomains) atau iam.managed.allowedPolicyMembers untuk menentukan satu atau beberapa ID pelanggan Cloud Identity atau Google Workspace yang pokoknya dapat ditambahkan ke kebijakan Identity and Access Management (IAM).

Batasan ini membantu mencegah karyawan memberikan akses ke akun eksternal di luar kontrol organisasi Anda yang tidak mengikuti kebijakan keamanan Anda untuk autentikasi multifaktor (MFA) atau pengelolaan sandi. Kontrol ini sangat penting untuk mencegah akses yang tidak sah, sehingga memastikan bahwa hanya identitas perusahaan terkelola yang tepercaya yang dapat digunakan.

Batasan gcp.restrictServiceUsage memastikan bahwa hanya layanan yang disetujui Google Cloud yang digunakan di tempat yang tepat. Misalnya, folder produksi atau folder yang berisi data yang sangat sensitif memiliki daftar kecil Google Cloud layanan yang disetujui untuk menyimpan data. Folder sandbox mungkin memiliki daftar layanan yang lebih besar dan kontrol keamanan data yang menyertainya untuk membantu mencegah pemindahan data yang tidak sah. Nilai ini khusus untuk sistem Anda dan cocok dengan daftar layanan dan dependensi yang disetujui untuk folder dan project tertentu.

Batasan ini memungkinkan organisasi Anda membuat daftar yang diizinkan untuk layanan yang disetujui, yang membantu mencegah karyawan menggunakan layanan yang tidak diperiksa.

Batasan Pembatasan Lokasi Resource (gcp.resourceLocations) memastikan bahwa hanya region yang Anda setujui Google Cloud yang digunakan untuk menyimpan data. Nilai ini khusus untuk sistem Anda dan cocok dengan daftar wilayah yang disetujui organisasi Anda untuk residensi data.

Batasan ini memungkinkan organisasi Anda memastikan bahwa resource dan data Anda hanya dibuat dan disimpan di wilayah geografis tertentu yang telah disetujui.

Batasan boolean compute.skipDefaultNetworkCreation tidak akan membuat jaringan default dan resource terkait saat membuat project Google Cloud .

Jaringan default adalah jaringan Virtual Private Cloud (VPC) mode otomatis dengan aturan firewall IPv4 yang sudah terisi otomatis untuk mengizinkan jalur komunikasi internal. Secara umum, penyiapan ini bukan postur keamanan yang direkomendasikan untuk lingkungan produksi.

Domain Name System Security Extensions (DNSSEC) adalah fitur Domain Name System (DNS) yang mengautentikasi respons terhadap pencarian nama domain. Fitur ini tidak memberikan perlindungan privasi untuk pencarian tersebut, tetapi mencegah penyerang memanipulasi atau merusak respons terhadap permintaan DNS.

Dalam Cloud DNS, aktifkan DNSSEC di tempat berikut:

• Zona DNS
• Domain level teratas (TLD)
• Resolusi DNS

Untuk setiap perimeter layanan, konfirmasi di konsol Google Cloud bahwa jenis perimeter ditetapkan ke reguler.

Untuk setiap perimeter layanan, gunakan Access Context Manager untuk mengonfirmasi bahwa perimeter melindungi API.

Batasan boolean compute.setNewProjectDefaultToZonalDNSOnly memungkinkan Anda menetapkan setelan DNS internal untuk project baru agar hanya menggunakan DNS zona. Gunakan DNS zona karena menawarkan keandalan yang lebih tinggi dibandingkan dengan zona individual karena DNS zona mengisolasi kegagalan dalam pendaftaran DNS .

Jika menggunakan Cloud Identity, bagikan log audit dari Cloud Identity ke Google Cloud.

Log audit Aktivitas Admin dari Google Workspace atau Cloud Identity biasanya dikelola dan dilihat di konsol Google Admin, secara terpisah dari log di lingkungan Google Cloud Anda. Log ini berisi informasi yang relevan untuk lingkungan Google Cloud Anda, seperti peristiwa login pengguna.

Sebaiknya bagikan log audit Cloud Identity ke lingkungan Google Cloud Anda untuk mengelola log secara terpusat dari semua sumber.

LayananGoogle Cloud menulis entri log audit untuk menjawab siapa yang melakukan apa, di mana, dan kapan dengan resource Google Cloud .

Aktifkan logging audit di tingkat organisasi. Anda dapat mengonfigurasi logging menggunakan pipeline yang Anda gunakan untuk menyiapkan organisasi Google Cloud .

VPC Flow Logs mencatat sampel alur jaringan yang dikirim dari dan diterima oleh instance VM, termasuk yang digunakan sebagai node Google Kubernetes Engine (GKE). Sampel biasanya berjumlah 50% atau kurang dari alur jaringan VPC.

Dengan mengaktifkan Log Alur VPC, Anda mengaktifkan logging untuk semua VM di subnet. Namun, Anda dapat mengurangi jumlah informasi yang ditulis ke logging.

Aktifkan VPC Flow Logs untuk setiap subnet VPC. Anda dapat mengonfigurasi logging menggunakan pipeline yang Anda gunakan untuk membuat project.

Secara default, aturan firewall tidak otomatis menulis log.Firewall Rules Logging memungkinkan Anda mengaudit, memverifikasi, dan menganalisis efek aturan firewall Anda. Misalnya, Anda dapat menentukan apakah aturan firewall yang dirancang untuk menolak traffic berfungsi sebagaimana mestinya. Logging juga berguna jika Anda ingin menentukan jumlah koneksi yang terpengaruh oleh aturan firewall tertentu.

Aktifkan logging untuk setiap aturan firewall. Anda dapat mengonfigurasi logging menggunakan pipeline yang Anda gunakan untuk membuat firewall.

Untuk melacak siapa yang mengakses data di lingkungan Google Cloud Anda, aktifkan log audit Akses Data. Log ini mencatat panggilan API yang membaca, membuat, atau mengubah data pengguna, serta panggilan API yang membaca konfigurasi resource.

Sebaiknya aktifkan log audit Akses Data untuk model AI generatif dan data sensitif guna memastikan Anda dapat mengaudit siapa yang telah membaca informasi tersebut. Untuk menggunakan log audit Akses Data, Anda harus menyiapkan logika deteksi kustom sendiri untuk aktivitas tertentu, seperti login admin super.

Volume log audit Akses Data bisa besar. Mengaktifkan log Akses Data dapat menyebabkan project Google Cloud Anda dikenai biaya untuk penggunaan log tambahan.

Hindari tagihan yang tidak terduga dengan membuat anggaran Penagihan Cloud untuk memantau semua biaya Google Cloud di satu tempat. Setelah menetapkan jumlah anggaran, tetapkan aturan nilai minimum pemberitahuan anggaran berdasarkan per project untuk memicu notifikasi email. Notifikasi ini membantu Anda melacak pengeluaran terhadap anggaran. Anda juga dapat menggunakan anggaran Penagihan Cloud untuk mengotomatiskan respons pengendalian biaya.

Log standar menunjukkan tindakan yang dilakukan pengguna organisasi Anda sendiri, tetapi log Transparansi Akses menunjukkan tindakan yang dilakukan staf dukungan Google saat mereka mengakses akun. Akses ini biasanya hanya terjadi sebagai respons terhadap permintaan dukungan. Log Transparansi Akses memberikan jejak audit yang lengkap dan dapat diverifikasi untuk semua akses, yang penting untuk memenuhi persyaratan kepatuhan dan tata kelola data yang ketat.

Anda dapat mengaktifkan Transparansi Akses di tingkat organisasi.

Untuk analisis penagihan lebih lanjut, Anda dapat mengekspor Google Cloud data penagihan ke BigQuery atau file JSON. Misalnya, Anda dapat mengekspor data mendetail secara otomatis, seperti penggunaan, perkiraan biaya, dan harga, sepanjang hari ke set data BigQuery yang Anda tentukan. Kemudian, Anda dapat mengakses data Penagihan Cloud dari BigQuery untuk memperoleh analisis yang mendetail, atau menggunakan alat seperti Data Studio untuk memvisualisasikan data Anda.

Semua data di Google Cloud secara default dienkripsi dalam penyimpanan menggunakan algoritma yang disetujui NIST.

Pastikan Cloud Key Management Service (Cloud KMS) hanya menggunakan algoritma yang disetujui NIST untuk menyimpan kunci sensitif di lingkungan. Kontrol ini memastikan penggunaan kunci yang aman hanya dengan algoritma dan keamanan yang disetujui NIST. Kolom CryptoKeyVersionAlgorithm adalah daftar yang diizinkan yang diberikan.

Menghapus algoritma yang tidak mematuhi kebijakan organisasi Anda.

Tetapkan tujuan kunci Cloud KMS ke ENCRYPT_DECRYPT agar kunci hanya digunakan untuk mengenkripsi dan mendekripsi data. Kontrol ini memblokir fungsi lain, seperti penandatanganan, dan memastikan bahwa kunci hanya digunakan untuk tujuan yang dimaksudkan. Jika Anda menggunakan kunci untuk fungsi lain, validasi kasus penggunaan tersebut dan pertimbangkan untuk membuat kunci tambahan.

Level perlindungan menunjukkan cara operasi kriptografi dilakukan. Setelah membuat kunci enkripsi yang dikelola pelanggan (CMEK), Anda tidak dapat mengubah tingkat perlindungan. Level perlindungan yang didukung adalah sebagai berikut:

• SOFTWARE: Operasi kriptografi dilakukan di software.
• HSM: Operasi kriptografi dilakukan di modul keamanan hardware (HSM).
• EKSTERNAL: Operasi kriptografi dilakukan menggunakan kunci yang disimpan di pengelola kunci eksternal yang terhubung ke Google Cloud melalui internet. Terbatas pada enkripsi simetris dan penandatanganan asimetris.
• EXTERNAL_VPC: Operasi kriptografi dilakukan menggunakan kunci yang disimpan di pengelola kunci eksternal yang terhubung ke Google Cloud melalui jaringan Virtual Private Cloud (VPC). Terbatas pada enkripsi simetris dan penandatanganan asimetris.

Pastikan periode rotasi kunci Cloud KMS Anda ditetapkan ke 90 hari. Praktik terbaik umum adalah merotasi kunci keamanan Anda secara berkala. Kontrol ini menerapkan rotasi kunci untuk kunci yang dibuat dengan layanan HSM.

Saat membuat periode rotasi ini, buat juga kebijakan dan prosedur yang sesuai untuk menangani pembuatan, penghapusan, dan modifikasi materi utama secara aman sehingga Anda dapat membantu melindungi informasi Anda dan memastikan ketersediaan. Pastikan periode ini mematuhi kebijakan perusahaan Anda untuk rotasi kunci.

Gunakan batasan kebijakan organisasi Batasi project mana yang dapat menyediakan CryptoKey KMS untuk CMEK (gcp.restrictCmekCryptoKeyProjects) untuk menentukan project mana yang dapat menyimpan kunci enkripsi yang dikelola pelanggan (CMEK). Batasan ini memungkinkan Anda memusatkan tata kelola dan pengelolaan kunci enkripsi. Jika kunci yang dipilih tidak memenuhi batasan ini, pembuatan resource akan gagal.

Untuk mengubah batasan ini, administrator memerlukan peran IAM Organization Policy Administrator (roles/orgpolicy.policyAdmin).

Jika Anda ingin menambahkan lapisan perlindungan kedua, seperti bawa kunci Anda sendiri, ubah batasan ini untuk merepresentasikan nama kunci CMEK yang diaktifkan.

Detail produk:

• Di Platform Agen Gemini Enterprise, Anda menyimpan kunci di project KEY PROJECTS.

Jika memerlukan kontrol lebih besar atas operasi kunci daripada yang diizinkan oleh Google-owned and Google-managed encryption keys , Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Kunci ini dibuat dan dikelola menggunakan Cloud KMS. Simpan kunci sebagai kunci software, dalam cluster HSM, atau dalam sistem pengelolaan kunci eksternal.

Tingkat enkripsi dan dekripsi Cloud KMS bergantung pada kuota.

Detail Cloud Storage

Di Cloud Storage, gunakan CMEK pada setiap objek, atau konfigurasi bucket Cloud Storage Anda untuk menggunakan CMEK secara default pada semua objek baru yang ditambahkan ke bucket. Saat menggunakan CMEK, objek dienkripsi dengan kunci tersebut oleh Cloud Storage pada saat disimpan dalam bucket, dan objek secara otomatis didekripsi oleh Cloud Storage saat objek disajikan kepada pemohon.

Batasan berikut berlaku saat menggunakan CMEK dengan Cloud Storage:

• Anda tidak dapat mengenkripsi objek dengan CMEK dengan memperbarui metadata objek. Sertakan kunci sebagai bagian dari penulisan ulang objek.
• Cloud Storage Anda menggunakan perintah update objek untuk menetapkan kunci enkripsi pada objek, tetapi perintah tersebut akan menulis ulang objek sebagai bagian dari permintaan.
• Anda harus membuat key ring Cloud KMS di lokasi yang sama dengan data yang ingin Anda enkripsi. Misalnya, jika bucket Anda berada di us-east1, key ring apa pun yang digunakan untuk mengenkripsi objek di bucket tersebut juga harus dibuat di us-east1.
• Untuk sebagian besar dual-region, Anda harus membuat key ring Cloud KMS di multi-region yang terkait. Misalnya, jika bucket Anda berada di pasangan us-east1, us-west1, key ring apa pun yang digunakan untuk mengenkripsi objek di bucket tersebut harus dibuat di multi-region Amerika Serikat.
• Untuk dual-region asia1, eur4, dan nam4 yang telah ditetapkan sebelumnya, Anda harus membuat key ring di dual-region yang sama yang telah ditetapkan sebelumnya.
• Checksum CRC32C dan hash MD5 objek yang dienkripsi dengan CMEK tidak ditampilkan saat mencantumkan objek dengan JSON API.
• Menggunakan alat seperti Cloud Storage untuk melakukan permintaan GET metadata tambahan pada setiap objek enkripsi guna mengambil informasi CRC32C dan MD5 dapat membuat daftar menjadi jauh lebih pendek. Cloud Storage tidak dapat menggunakan bagian dekripsi dari kunci asimetris yang disimpan di Cloud KMS untuk secara otomatis mendekripsi objek yang relevan dengan cara yang sama seperti yang dilakukan oleh CMEK.