Controlli di base sicuri per le aziende

Utilizza il vincolo booleano automaticIamGrantsForDefaultServiceAccounts per disattivare le concessioni automatiche dei ruoli quando i servizi creano automaticamente service account predefiniti con ruoli eccessivamente permissivi. Google Cloud

Per impostazione predefinita, alcuni sistemi concedono autorizzazioni eccessivamente ampie agli account automatizzati, il che rappresenta un potenziale rischio per la sicurezza. Ad esempio, se non applichi questo vincolo e crei un account di servizio predefinito, a quest'account di servizio viene concesso automaticamente il ruolo Editor (roles/editor) nel tuo progetto. Se un malintenzionato compromette una sola parte del sistema, potrebbe ottenere il controllo dell'intero progetto. Questo vincolo disattiva le autorizzazioni automatiche di alto livello, imponendo un approccio più sicuro e deliberato in cui vengono concesse solo le autorizzazioni minime necessarie.

Utilizza il vincolo booleano iam.disableServiceAccountKeyCreation per disattivare la creazione di chiavi esterne del account di servizio. Questo vincolo consente di controllare l'utilizzo di credenziali a lungo termine non gestite per i service account. Quando questo vincolo è impostato, non puoi creare credenziali gestite dall'utente per i service account nei progetti interessati dal vincolo.

Utilizza il vincolo booleano iam.disableServiceAccountKeyUpload per disabilitare il caricamento di chiavi pubbliche esterne nei service account. Quando questo vincolo è impostato, gli utenti non possono caricare chiavi pubbliche nei service account dei progetti interessati dal vincolo.

Google consiglia i token di sicurezza Titan per la verifica in due passaggi (V2P) per gli account super amministratore. Tuttavia, per i casi d'uso in cui ciò non è possibile, consigliamo di utilizzare un altro token di sicurezza come alternativa.

Applica la verifica in due passaggi (V2P) per un'unità organizzativa (UO) specifica o per l'intera organizzazione. Ti consigliamo di creare un'UO per i super amministratori e di imporre la V2P a questa UO.

Non avere un singolo super amministratore o amministratore dell'organizzazione. Crea uno o più (fino a 20) account amministratore di backup. Un singolo super amministratore o Amministratore organizzazione può causare scenari di blocco. Questa situazione comporta anche un rischio maggiore, in quanto una persona può apportare modifiche alla piattaforma, potenzialmente senza supervisione.

I tag forniscono un modo per creare annotazioni per le risorse e, in alcuni casi, consentire o negare in modo condizionale le policy a seconda che una risorsa abbia un tag specifico. Utilizza i tag e l'applicazione condizionale dei criteri per avere un controllo granulare in tutta la gerarchia delle risorse.

Utilizza Audit log di Cloud per monitorare le attività ad alto rischio, ad esempio gli account a cui vengono concessi ruoli ad alto rischio come Amministratore dell'organizzazione e Super amministratore. Configura gli avvisi per questo tipo di attività.

Per evitare di concedere un accesso eccessivo a Google Cloud, blocca l'accesso a Cloud Shell per gli account utente gestiti Cloud Identity.

Con l'accesso sensibile al contesto, puoi creare criteri di sicurezza per controllo dell'accesso granulare alle applicazioni in base ad attributi come l'identità dell'utente, la località, lo stato della sicurezza del dispositivo e l'indirizzo IP. Ti consigliamo di utilizzare l'accesso sensibile al contesto per limitare l'accesso alla console Google Cloud (https://console.cloud.google.com/) e alla Console di amministrazione Google (https://admin.cloud.google.com).

Google Cloud supporta più versioni del protocollo TLS. Per soddisfare i requisiti di conformità, potresti voler rifiutare le richieste di handshake dai client che utilizzano versioni TLS precedenti.

Per configurare questo controllo, utilizza il vincolo della policy dell'organizzazione Limita versioni TLS (gcp.restrictTLSVersion). Puoi applicare questo vincolo a organizzazioni, cartelle o progetti nella gerarchia delle risorse. Il vincolo Limita versioni TLS utilizza una lista nera, che nega i valori espliciti e consente tutti gli altri. Si verifica un errore se provi a utilizzare una lista consentita.

A causa del comportamento della valutazione della gerarchia delle policy dell'organizzazione, la limitazione della versione TLS si applica al nodo risorsa specificato e a tutte le relative cartelle e progetti (elementi secondari). Ad esempio, se neghi la versione TLS 1.0 per un'organizzazione, viene negata anche per tutti i suoi discendenti.

Puoi ignorare la limitazione della versione TLS ereditata aggiornando la policy dell'organizzazione su una risorsa secondaria. Ad esempio, se la policy dell'organizzazione nega TLS 1.0 a livello di organizzazione, puoi rimuovere la limitazione per una cartella secondaria impostando una policy dell'organizzazione separata per quella cartella. Se la cartella ha elementi secondari, il criterio della cartella verrà applicato anche a ogni risorsa secondaria a causa dell'ereditarietà dei criteri.

Per limitare ulteriormente la versione TLS solo a TLS 1.3, puoi impostare questo criterio in modo che limiti anche la versione TLS 1.2. Devi implementare questo controllo sulle applicazioni che ospiti all'interno di Google Cloud. Ad esempio, a livello di organizzazione, imposta:

["TLS_VERSION_1","TLS_VERSION_1.1","TLS_VERSION_1.2"]

Assicurati che nel tuo ambiente Google Cloud siano consentite solo le identità della tua organizzazione. Utilizza il vincolo di policy dell'organizzazione Condivisione con limitazioni del dominio (iam.allowedPolicyMemberDomains) o iam.managed.allowedPolicyMembers per definire uno o più ID cliente di Cloud Identity o Google Workspace le cui entità possono essere aggiunte ai criteri Identity and Access Management (IAM).

Questi vincoli aiutano a impedire ai dipendenti di concedere l'accesso ad account esterni al di fuori del controllo della tua organizzazione che non rispettano i criteri di sicurezza per l'autenticazione a più fattori (MFA) o la gestione delle password. Questo controllo è fondamentale per impedire l'accesso non autorizzato, garantendo che possano essere utilizzate solo identità aziendali gestite e attendibili.

Il vincolo gcp.restrictServiceUsage garantisce che solo i servizi approvati Google Cloud vengano utilizzati nei luoghi giusti. Ad esempio, una cartella di produzione o molto sensibile ha un piccolo elenco di Google Cloud servizi approvati per l'archiviazione dei dati. Una cartella sandbox potrebbe avere un elenco più ampio di servizi e controlli di sicurezza dei dati di accompagnamento per contribuire a prevenire l'esfiltrazione di dati. Il valore è specifico per i tuoi sistemi e corrisponde all'elenco approvato di servizi e dipendenze per progetti e cartelle specifici.

Questo vincolo consente alla tua organizzazione di creare una lista consentita di servizi approvati, il che aiuta a impedire ai dipendenti di utilizzare servizi non verificati.

Il vincolo di limitazione della località delle risorse (gcp.resourceLocations) garantisce che per l'archiviazione dei dati vengano utilizzate solo le regioni Google Cloud approvate. Il valore è specifico per i tuoi sistemi e corrisponde all'elenco approvato di regioni per la residenza dei dati della tua organizzazione.

Questo vincolo consente alla tua organizzazione di imporre che le risorse e i dati vengano creati e salvati solo in regioni geografiche specifiche approvate.

Il vincolo booleano compute.skipDefaultNetworkCreation ignora la creazione della rete predefinita e delle risorse correlate durante la creazione dei progetti Google Cloud .

La rete predefinita è una rete Virtual Private Cloud (VPC) in modalità automatica con regole firewall IPv4 precompilate per consentire i percorsi di comunicazione interni. In genere, questa configurazione non è una postura di sicurezza consigliata per gli ambienti di produzione.

Le estensioni DNSSEC (Domain Name System Security Extensions) sono una funzionalità del DNS (Domain Name System) che autentica le risposte alle ricerche dei nomi di dominio. Non fornisce protezioni della privacy per queste ricerche, ma impedisce ai malintenzionati di manipolare o compromettere le risposte alle richieste DNS.

In Cloud DNS, abilita DNSSEC nei seguenti punti:

• Zona DNS
• Dominio di primo livello (TLD)
• Risoluzione DNS

Per ogni perimetro di servizio, verifica nella console Google Cloud che il tipo di perimetro sia impostato su normale.

Per ogni perimetro di servizio, utilizza Gestore contesto accesso per verificare che il perimetro protegga l'API.

Il vincolo booleano compute.setNewProjectDefaultToZonalDNSOnly consente di impostare l'impostazione del DNS interno per i nuovi progetti in modo che utilizzino solo il DNS di zona. Utilizza il DNS di zona perché offre una maggiore affidabilità rispetto alle singole zone, in quanto isola gli errori nella registrazione DNS .

Se utilizzi Cloud Identity, condividi gli audit log da Cloud Identity con Google Cloud.

I log di controllo dell'attività amministrativa di Google Workspace o Cloud Identity vengono normalmente gestiti e visualizzati nella Console di amministrazione Google, separatamente dai log nel tuo ambiente Google Cloud . Questi log contengono informazioni pertinenti per il tuo Google Cloud ambiente, ad esempio gli eventi di accesso degli utenti.

Ti consigliamo di condividere i log di controllo di Cloud Identity con il tuo ambiente Google Cloud per gestire centralmente i log di tutte le origini.

I serviziGoogle Cloud scrivono voci di audit log per rispondere alla domanda "Chi ha fatto cosa, dove e quando?" con le risorse Google Cloud .

Abilita l'audit logging a livello di organizzazione. Puoi configurare la registrazione utilizzando la pipeline che utilizzi per configurare l'organizzazione Google Cloud .

I log di flusso VPC registrano un campione di flussi di rete inviati e ricevuti dalle istanze VM, incluse quelle utilizzate come nodi Google Kubernetes Engine (GKE). Il campione è in genere pari al 50% o meno dei flussi di rete VPC.

Quando abiliti i log di flusso VPC, abiliti la registrazione per tutte le VM in una subnet. Tuttavia, puoi ridurre la quantità di informazioni scritte nel logging.

Abilita i log di flusso VPC per ogni subnet VPC. Puoi configurare la registrazione utilizzando una pipeline che utilizzi per creare un progetto.

Per impostazione predefinita, le regole firewall non scrivono automaticamente i log.Il logging delle regole firewall consente di controllare, verificare e analizzare gli effetti delle regole firewall. Ad esempio, puoi determinare se una regola firewall progettata per negare il traffico funziona come previsto. Il logging è utile anche se vuoi determinare quante connessioni sono interessate da una determinata regola firewall.

Attiva la registrazione per ogni regola firewall. Puoi configurare la registrazione utilizzando una pipeline che utilizzi per creare un firewall.

Per monitorare chi ha avuto accesso ai dati nel tuo ambiente Google Cloud , attiva gli audit log di accesso ai dati. Questi log registrano le chiamate API che leggono, creano o modificano i dati utente, nonché le chiamate API che leggono le configurazioni delle risorse.

Ti consigliamo vivamente di attivare gli audit log di accesso ai dati per i modelli di AI generativa e i dati sensibili per assicurarti di poter controllare chi ha letto le informazioni. Per utilizzare gli audit log degli accessi ai dati, devi configurare una logica di rilevamento personalizzata per attività specifiche, come gli accessi dei super amministratori.

Il volume degli audit log di accesso ai dati può essere elevato. L'abilitazione dei log di accesso ai dati potrebbe comportare l'addebito di costi aggiuntivi per l'utilizzo dei log nel tuo progetto Google Cloud .

Evita sorprese nella tua fattura creando budget di fatturazione Cloud per monitorare tutti i tuoi Google Cloud addebiti in un unico posto. Dopo aver stabilito un importo del budget, imposta regole di soglia di avviso per il budget in base al progetto per attivare le notifiche email. Queste notifiche ti aiutano a monitorare la spesa rispetto al budget. Puoi anche utilizzare i budget di fatturazione Cloud per automatizzare le risposte al controllo dei costi.

I log standard mostrano le azioni intraprese dagli utenti della tua organizzazione, mentre i log di Access Transparency mostrano le azioni intraprese dal personale di assistenza Google quando accede all'account. Questo accesso in genere avviene solo in risposta a una richiesta di assistenza. I log di Access Transparency forniscono un audit trail completo e verificabile di tutti gli accessi, essenziale per soddisfare i rigorosi requisiti di conformità e governance dei dati.

Puoi attivare Access Transparency a livello di organizzazione.

Per un'ulteriore analisi della fatturazione, puoi esportare i dati di fatturazione Google Cloud in BigQuery o in un file JSON. Ad esempio, puoi esportare automaticamente dati dettagliati, come utilizzo, stime di costi e prezzi, durante la giornata in un set di dati BigQuery da te specificato. Potrai quindi accedere ai tuoi dati di fatturazione Cloud da BigQuery per un'analisi dettagliata o utilizzare uno strumento come Data Studio per visualizzare i tuoi dati.

Tutti i dati in Google Cloud sono criptati at-rest per impostazione predefinita utilizzando algoritmi approvati dal NIST.

Assicurati che Cloud Key Management Service (Cloud KMS) utilizzi solo algoritmi approvati dal NIST per archiviare le chiavi sensibili nell'ambiente. Questo controllo garantisce l'utilizzo sicuro delle chiavi solo da parte di algoritmi e sicurezza approvati dal NIST. Il campo CryptoKeyVersionAlgorithm è un elenco consentito fornito.

Rimuovi gli algoritmi che non rispettano le policy della tua organizzazione.

Imposta lo scopo delle chiavi Cloud KMS su ENCRYPT_DECRYPT in modo che le chiavi vengano utilizzate solo per criptare e decriptare i dati. Questo controllo blocca altre funzioni, come la firma, e garantisce che le chiavi vengano utilizzate solo per lo scopo previsto. Se utilizzi chiavi per altre funzioni, convalida questi casi d'uso e valuta la possibilità di creare chiavi aggiuntive.

Il livello di protezione indica il modo in cui vengono eseguite le operazioni crittografiche. Dopo aver creato una chiave di crittografia gestita dal cliente (CMEK), non puoi modificare il livello di protezione. I livelli di protezione supportati sono i seguenti:

• SOFTWARE: le operazioni di crittografia vengono eseguite nel software.
• HSM:le operazioni di crittografia vengono eseguite in un modulo di sicurezza hardware (HSM).
• ESTERNO:le operazioni di crittografia vengono eseguite utilizzando una chiave archiviata in un gestore di chiavi esterno connesso a Google Cloud tramite internet. Limitato alla crittografia simmetrica e alla firma asimmetrica.
• EXTERNAL_VPC::le operazioni di crittografia vengono eseguite utilizzando una chiave archiviata in un gestore di chiavi esterno connesso a Google Cloud tramite una rete Virtual Private Cloud (VPC). Limitato alla crittografia simmetrica e alla firma asimmetrica.

Assicurati che il periodo di rotazione delle chiavi Cloud KMS sia impostato su 90 giorni. Una best practice generale è ruotare le chiavi di sicurezza a intervalli regolari. Questo controllo applica rotazione della chiave per le chiavi create con i servizi HSM.

Quando crei questo periodo di rotazione, crea anche criteri e procedure appropriati per gestire in modo sicuro la creazione, l'eliminazione e la modifica del materiale di generazione delle chiavi, in modo da proteggere le tue informazioni e garantire la disponibilità. Assicurati che questo periodo rispetti le norme aziendali per rotazione della chiave.

Utilizza il vincolo della policy dell'organizzazione Limita i progetti che possono fornire CryptoKey KMS per CMEK (gcp.restrictCmekCryptoKeyProjects) per definire i progetti che possono archiviare le chiavi di crittografia gestite dal cliente (CMEK). Questo vincolo ti consente di centralizzare la governance e la gestione delle chiavi di crittografia. Quando una chiave selezionata non soddisfa questo vincolo, la creazione della risorsa non va a buon fine.

Per modificare questo vincolo, gli amministratori devono disporre del ruolo IAM Organization Policy Administrator (roles/orgpolicy.policyAdmin).

Se vuoi aggiungere un secondo livello di protezione, ad esempio Bring Your Own Key, modifica questo vincolo in modo che rappresenti i nomi delle chiavi CMEK abilitate.

Specifiche del prodotto:

• In Gemini Enterprise Agent Platform, archivi le chiavi nel progetto PROGETTI CHIAVE.

Se hai bisogno di un maggiore controllo sulle operazioni con le chiavi rispetto a quanto consentito dalle Google-owned and Google-managed encryption keys chiavi di crittografiabasate su Google Clouddi proprietà di Google e gestite da Google, puoi utilizzare le chiavi di crittografia gestite dal cliente (CMEK). Queste chiavi vengono create e gestite utilizzando Cloud KMS. Memorizza le chiavi come chiavi software, in un cluster HSM o in un sistema di gestione delle chiavi esterno.

Le velocità di crittografia e decrittografia di Cloud KMS sono soggette a quote.

Specifiche di Cloud Storage

In Cloud Storage, utilizza le chiavi CMEK su singoli oggetti o configura i bucket Cloud Storage in modo che utilizzino una chiave CMEK per impostazione predefinita su tutti i nuovi oggetti aggiunti a un bucket. Quando utilizzi una CMEK, un oggetto viene criptato con la chiave da Cloud Storage al momento dell'archiviazione in un bucket e viene decriptato automaticamente da Cloud Storage quando viene fornito ai richiedenti.

Quando utilizzi le chiavi CMEK con Cloud Storage, si applicano le seguenti limitazioni:

• Non puoi criptare un oggetto con una CMEK aggiornando i metadati dell'oggetto. Includi la chiave come parte della riscrittura dell'oggetto.
• Cloud Storage utilizza il comando di aggiornamento degli oggetti per impostare le chiavi di crittografia sugli oggetti, ma il comando riscrive l'oggetto nell'ambito della richiesta.
• Devi creare il keyring Cloud KMS nella stessa posizione dei dati che intendi criptare. Ad esempio, se il bucket si trova in us-east1, qualsiasi portachiavi utilizzato per criptare gli oggetti in quel bucket deve essere creato anche in us-east1.
• Per la maggior parte delle doppie regioni, devi creare il keyring Cloud KMS nella multiregione associata. Ad esempio, se il bucket si trova nella coppia us-east1, us-west1, qualsiasi portachiavi utilizzato per criptare gli oggetti in quel bucket deve essere creato nella multiregione Stati Uniti.
• Per le doppie regioni predefinite asia1, eur4 e nam4, devi creare il keyring nella stessa doppia regione predefinita.
• Il checksum CRC32C e l'hash MD5 degli oggetti criptati con chiavi CMEK non vengono restituiti quando vengono elencati oggetti con l'API JSON.
• L'utilizzo di strumenti come Cloud Storage per eseguire richieste di metadati GET aggiuntive su ogni oggetto di crittografia per recuperare le informazioni CRC32C e MD5 può rendere l'elenco notevolmente più breve. Cloud Storage non può utilizzare la parte di decrittografia delle chiavi asimmetriche archiviate in Cloud KMS per decriptare automaticamente gli oggetti pertinenti nello stesso modo in cui lo fanno le CMEK.