Kontrol infrastruktur

• under:organizations/ORGANIZATION_ID
• under:folders/FOLDER_ID
• under:projects/PROJECT_ID
• projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME.

Kecuali jika diperlukan, cegah pembuatan instance Compute Engine dengan alamat IP publik. Batasan daftar compute.vmExternalIpAccess menentukan kumpulan instance VM Compute Engine yang dapat memiliki alamat IP eksternal.

Mencegah instance Compute Engine memiliki alamat IP eksternal untuk mengurangi secara drastis eksposurnya ke internet. Instance apa pun dengan alamat IP eksternal dapat langsung ditemukan dan menjadi target langsung untuk pemindaian otomatis, serangan brute force, dan upaya untuk mengeksploitasi kerentanan. Sebagai gantinya, mewajibkan instance menggunakan alamat IP pribadi dan mengelola akses melalui jalur yang terkontrol, diautentikasi, dan dicatat seperti tunnel Identity-Aware Proxy (IAP) atau bastion host.

Mengadopsi postur tolak secara default ini adalah praktik terbaik keamanan dasar yang membantu meminimalkan permukaan serangan Anda dan menerapkan pendekatan zero-trust ke jaringan Anda. Batasan ini tidak berlaku surut.

Batasan daftar compute.vmExternalIpAccess memungkinkan Anda membatasi akses eksternal ke mesin virtual dengan tidak menetapkan alamat IP eksternal. Konfigurasi batasan daftar ini untuk menolak semua alamat IP eksternal ke mesin virtual.

Batasan boolean cloudfunctions.requireVPCConnector mewajibkan administrator menentukan konektor Akses VPC Serverless saat men-deploy fungsi Cloud Run. Jika diterapkan, fungsi harus menentukan konektor.

• Tetapkan kebijakan penyimpanan pesan menggunakan batasan kebijakan organisasi Pembatasan Lokasi Resource (gcp.resourceLocations).
• Konfigurasi kebijakan penyimpanan pesan saat membuat topik. Contoh:

  gcloud pubsub topics create TOPIC_ID \--message-storage-policy-allowed-regions=REGION1, REGION2

Nonaktifkan alamat IP eksternal untuk tugas administratif dan pemantauan yang terkait dengan tugas Dataflow. Sebagai gantinya, konfigurasi akses ke VM pekerja Dataflow Anda menggunakan SSH.

Aktifkan Akses Google Pribadi dan tentukan salah satu opsi berikut dalam tugas Dataflow Anda:

• --usePublicIps=false dan --network=NETWORK-NAME
• --subnetwork=SUBNETWORK-NAME

Dengan:

• NETWORK-NAME: Nama jaringan Compute Engine Anda.
• SUBNETWORK-NAME: Nama subnetwork Compute Engine Anda.

Tag jaringan adalah atribut teks yang terpasang ke VM Compute Engine seperti VM pekerja Dataflow. Dengan tag jaringan, Anda dapat membuat aturan firewall jaringan VPC dan beberapa rute statis kustom yang berlaku untuk instance VM tertentu. Dataflow mendukung penambahan tag jaringan ke semua VM pekerja yang menjalankan tugas Dataflow tertentu.

Secara default, bidang kontrol dan node cluster Google Kubernetes Engine (GKE) memiliki alamat yang dapat dirutekan di internet dan dapat diakses dari alamat IP mana pun. Batasi akses jaringan ke bidang kontrol dengan menggunakan endpoint berbasis DNS dan dengan membuat cluster pribadi. Bidang kontrol adalah pusat pengelolaan untuk cluster Kubernetes, dan mengeksposnya ke internet menjadikannya target utama bagi penyerang. Konfigurasi ini menjadikan bidang kontrol pribadi dan menghapusnya dari internet.

Membatasi akses bidang kontrol membantu memastikan bahwa hanya perangkat tepercaya dalam jaringan pribadi organisasi Anda yang dapat mengelola cluster, sehingga secara drastis mengurangi risiko serangan eksternal.

Saat Anda membuat aturan firewall, gunakan prinsip hak istimewa terendah guna membatasi akses hanya untuk tujuan yang diperlukan. Pastikan aturan firewall Anda tidak bentrok dengan aturan firewall default GKE jika memungkinkan.

Gunakan Google Grup untuk kontrol akses berbasis peran (RBAC), yang juga memungkinkan Anda berintegrasi dengan praktik pengelolaan akun pengguna yang ada, seperti mencabut akses saat seseorang keluar dari organisasi Anda. Google Grup untuk RBAC membantu memberikan pengelolaan akses cluster yang efisien menggunakan Identity and Access Management (IAM) dan Google Grup, yang cocok untuk sebagian besar organisasi yang menggunakan Google Grup.

Aktifkan Shielded GKE Node untuk verifikasi kriptografis node di cluster Anda. Shielded GKE Node memberikan identitas dan integritas node yang kuat serta dapat diverifikasi. Aktifkan Node GKE yang Terlindungi saat membuat atau mengupdate cluster. Jika memungkinkan, gunakan Shielded GKE Node dengan Booting Aman untuk juga mengautentikasi komponen booting VM node Anda selama proses booting. Jangan gunakan booting aman jika Anda memerlukan modul kernel pihak ketiga yang tidak ditandatangani.

Node GKE yang Terlindungi diaktifkan secara default saat Anda membuat cluster.

Gunakan Container-Optimized OS untuk menerapkan OS container yang telah melalui proses hardening dan dikelola. Sistem operasi serbaguna mencakup banyak program tambahan yang tidak diperlukan untuk menjalankan container dan oleh karena itu menciptakan target yang lebih besar dan tidak perlu bagi penyerang. Container-Optimized OS adalah sistem operasi minimalis dan terkunci yang secara signifikan mengurangi permukaan serangan ini dengan hanya menyertakan apa yang diperlukan. Sebagai OS terkelola, Container-Optimized OS juga memiliki patch keamanan yang diterapkan secara otomatis oleh Google, yang membantu memastikan kerentanan penting diperbaiki dan mengurangi beban kerja operasional Anda.

Image yang menyertakan Container-Optimized OS dengan containerd (cos_containerd) memiliki containerd sebagai runtime container utama yang terintegrasi langsung dengan Kubernetes. containerd adalah komponen runtime inti Docker dan dirancang untuk memberikan fungsionalitas container inti untuk Antarmuka Runtime Container (CRI) Kubernetes. containerd jauh lebih sederhana daripada daemon Docker yang lengkap, sehingga memiliki permukaan serangan yang lebih kecil.

Gunakan Workload Identity Federation for GKE untuk melakukan autentikasi ke Google Cloud API secara aman dari workload Google Kubernetes Engine (GKE). Workload Identity Federation for GKE memberikan alternatif yang lebih sederhana dan aman untuk menggunakan kunci akun layanan.

Gunakan GKE Sandbox untuk memberikan lapisan keamanan tambahan guna membantu mencegah kode yang tidak tepercaya memengaruhi kernel host di node cluster Google Kubernetes Engine (GKE) Anda. GKE Sandbox meningkatkan isolasi workload untuk workload yang tidak tepercaya atau sensitif, sehingga memberikan lapisan perlindungan tambahan terhadap serangan container escape.

Nonaktifkan port hanya baca kubelet 10255 dan gunakan port 10250 yang lebih aman. Kubernetes tidak melakukan pemeriksaan autentikasi atau otorisasi apa pun di port ini. Kubelet melayani endpoint yang sama di port 10250 yang lebih aman dan diautentikasi.

Anda hanya dapat menonaktifkan port kubelet hanya baca yang tidak aman di GKE versi 1.26.4-gke.500 atau yang lebih baru.

Buat namespace atau cluster terpisah untuk setiap tim dan lingkungan guna menerapkan akses hak istimewa terendah ke Kubernetes. Tetapkan pusat biaya dan label yang sesuai ke setiap namespace untuk akuntabilitas dan penagihan balik. Hanya berikan tingkat akses secukupnya kepada developer agar dapat mengakses namespace untuk men-deploy dan mengelola aplikasi mereka, terutama dalam produksi. Petakan tugas yang perlu dilakukan pengguna terhadap cluster dan tentukan izin yang diperlukan untuk melakukan setiap tugas.

Tetapkan peran Identity and Access Management (IAM) yang sesuai untuk Google Kubernetes Engine (GKE) kepada grup dan pengguna untuk memberikan izin di tingkat project dan gunakan RBAC untuk memberikan izin di tingkat cluster dan namespace.

Secara default, semua pod dalam cluster dapat saling berkomunikasi. Kontrol komunikasi antar-pod sesuai dengan kebutuhan workload Anda. Membatasi akses jaringan ke layanan dapat mempersempit ruang gerak penyerang dalam cluster Anda, dan juga memberikan perlindungan tambahan terhadap denial of service baik yang disengaja maupun tidak.

Ada dua cara untuk mengontrol traffic:

• Gunakan Cloud Service Mesh atau Istio untuk load balancing, otorisasi layanan, throttling, kuota, metrik, dan lainnya.
• Gunakan kebijakan jaringan Kubernetes. Pilih opsi ini jika Anda memerlukan fungsionalitas kontrol akses dasar yang diekspos oleh Kubernetes.

Pengontrol penerimaan adalah plugin yang mengatur dan menerapkan cara penggunaan cluster. Aktifkan plugin ini agar dapat menggunakan beberapa fitur keamanan lanjutan di Kubernetes karena plugin ini merupakan bagian penting dari pendekatan pertahanan yang mendalam untuk melakukan hardening pada cluster Anda. Secara default, pod di Kubernetes dapat beroperasi dengan kemampuan melebihi yang dibutuhkan. Gunakan kontrol penerimaan untuk membatasi kemampuan pod hanya pada yang diperlukan untuk workload tersebut.

GKE mendukung banyak kontrol untuk membatasi pod Anda agar dijalankan dengan kemampuan yang diberikan secara eksplisit. Misalnya, Pengontrol Kebijakan tersedia untuk cluster dalam fleet. Kubernetes juga memiliki pengontrol penerimaan PodSecurity bawaan yang memungkinkan Anda menerapkan Standar Keamanan Pod untuk tiap-tiap cluster. Pengontrol Kebijakan adalah fitur GKE yang memungkinkan Anda menerapkan dan memvalidasi keamanan pada cluster GKE dalam skala besar menggunakan kebijakan deklaratif.

Workload Kubernetes tertentu, terutama workload sistem, memiliki izin untuk menjalankan modifikasi mandiri. Sebagai contoh, beberapa workload melakukan penskalaan otomatis secara vertikal. Meskipun berguna, modifikasi mandiri dapat memungkinkan penyerang yang telah menyusupi node untuk menjelajahi cluster lebih dalam lagi. Misalnya, penyerang dapat membuat workload pada node melakukan modifikasi mandiri untuk dijalankan sebagai akun layanan dengan hak istimewa yang berada di namespace yang sama.

Jangan berikan izin kepada workload untuk melakukan modifikasi mandiri secara default. Jika memerlukan modifikasi mandiri, batasi izin dengan menerapkan batasan Pemilah Komunikasi atau Pengontrol Kebijakan, seperti NoUpdateServiceAccount dari library open source Pemilah Komunikasi, yang memberikan beberapa solusi keamanan bermanfaat.

Saat Anda men-deploy kebijakan, izinkan pengontrol yang mengelola siklus proses cluster untuk mengabaikan kebijakan tersebut. Pengontrol harus membuat perubahan pada cluster, seperti menerapkan upgrade cluster. Misalnya, jika Anda men-deploy kebijakan NoUpdateServiceAccount di GKE, Anda harus menetapkan parameter berikut dalam batasan:

Audit konfigurasi cluster Anda untuk menemukan penyimpangan dari setelan yang ditentukan. Setelan yang dibahas dalam praktik terbaik ini, serta kesalahan konfigurasi umum lainnya, dapat diperiksa secara otomatis menggunakan Security Command Center.

Gunakan Otorisasi Biner untuk memastikan image tepercaya di-deploy ke Google Kubernetes Engine (GKE) dan Cloud Run. Otorisasi Biner membantu memastikan bahwa hanya image container terverifikasi dan tepercaya yang dapat di-deploy di cluster Anda, sehingga memperkuat keamanan supply chain software.