שיטות מומלצות לאבטחה ב-Google Cloud VMware Engine

במאמר הזה מתוארת ארכיטקטורה אופיינית של Google Cloud VMware Engine ב-Google Cloud. בנוסף, מפורטות בו שיטות מומלצות לאבטחה שרלוונטיות לעומסי עבודה של VMware Engine, ומתואר מתי כדאי להשתמש בשירותים ספציפיים של Google Cloud Google Cloud.

ארכיטקטורה

בתרשים הבא מוצגים Google Cloud השירותים בארכיטקטורה אופיינית של VMware Engine.

התרשים הזה כולל את הפריטים הבאים:

• שירות Backup and DR הוא שירות מנוהל שמספק גיבוי ושחזור של עומסי עבודה שפועלים ב-VMware Engine.

• ‫BigQuery מספק יכולות של מחסן נתונים (data warehouse) וניתוח נתונים שנוצרים על ידי האפליקציות ומסדי הנתונים שפועלים במכונות וירטואליות של VMware Engine.

• יומני הביקורת של Cloud עוקבים אחרי הפעולות שהמשתמשים מבצעים בסביבה שלכם, וכך משפרים את היכולות שלכם לפתרון בעיות, לביקורת ולתגובה לאירועים.

• במרכזי הבקרה ובאמצעות ההתראות של החיוב ב-Cloud אפשר לבדוק את השימוש בעומסי העבודה (workloads) של VMware Engine ואת החיוב עליהם.

• ‫Cloud Identity מאחד את הזהויות, הגישה, האפליקציות והניהול של Google Cloud.

• אפשר להשתמש ב-Cloud Load Balancing עם קבוצות היברידיות של נקודות קצה ברשת (NEGs) כדי להפיץ את התעבורה לאפליקציות שפועלות במכונות וירטואליות של VMware Engine.

• ‫Cloud Storage מאחסן נתונים, כולל נתוני גיבוי, של מכונות וירטואליות ועומסי עבודה ב-VMware Engine.

• ב-Compute Engine אפשר להריץ אפליקציות שמשתמשות בעומסי עבודה של VMware Engine.

• ‫Cloud DNS רושם את הדומיין, מנהל אותו ומספק אותו.

• ‫Google Cloud Armor מספק הגנה מפני DDoS ויכולות WAF לאפליקציות אינטרנט שמתארחות ב-VMware Engine ולאפליקציות שנחשפות באמצעות Cloud Load Balancing.

• ‫Google Kubernetes Engine מאפשר להריץ אשכולות Kubernetes בתשתית VMware בתוך VMware Engine.

• ניהול הזהויות והרשאות הגישה (IAM) קובע מי יכול לבצע פעולות ספציפיות ב-VMware Engine ובמשאבים, כמו יצירה, עריכה או מחיקה שלהם.

• שירות של מדיניות הארגון מאפשר לנהל ולאכוף מדיניות באופן מרכזי בסביבת Google Cloud. מדיניות הארגון עוזרת לוודא שההגדרות עקביות ושקיימת תאימות לאבטחה בפרויקטים ובמשאבים בארגון.

• מנהל המשאבים עוזר לקבץ ולנהל רכיבים לוגיים של עומסי העבודה ב-VMware Engine.

• ‫Secret Manager עוזר להגן על נתונים רגישים ועל פרטי הכניסה שמשמשים בפרויקטים של VMware Engine.

• ‫Security Command Center עוזר להגן על הארגון בענן, על עומסי העבודה של VMware ועל הנתונים שמאוחסנים ב- Google Cloud. ‫Security Command Center מספק את האפשרויות הבאות:

  • ניהול אבטחה ריכוזי
  • זיהוי איומים ותגובה לאירועים
  • הערכות אבטחה אוטומטיות
  • דיווח על עמידה בדרישות ודיווח רגולטורי
  • המלצות ושיטות מומלצות בנושא אבטחה

• ענן וירטואלי פרטי (VPC) מבודד את המשאבים שלכם מהאינטרנט בסביבה מאובטחת. הגדרת הרשת הזו עוזרת להגן על מידע אישי רגיש ועומסי עבודה מפני גישה לא מורשית ומפני מתקפות סייבר פוטנציאליות.

• Cloud VPN או Cloud Interconnect מאפשרים ליצור חיבור רשת מאובטח בין התשתית המקומית לבין סביבת VMware Engine. ‫Cloud VPN או Cloud Interconnect עוזרים להעביר נתונים ולתקשר בצורה חלקה בין הרשת הפרטית שלכם לבין משאבים ב- Google Cloud.

שיטות מומלצות לעומסי עבודה ב-VMware Engine

בקטע הזה מופיעים קישורים לשיטות המומלצות לעומסי עבודה שמשתמשים ב-VMware Engine.

• קבוצות משתמשים ותפקידי IAM מומלצים

• שיטות מומלצות לאבטחת הבסיס של הארגון

  • שיטות מומלצות לאימות ולהרשאה

    • השבתה של הענקת IAM לחשבונות שירות שמוגדרים כברירת מחדל באופן אוטומטי
    • חסימת היצירה של מפתחות חיצוניים לחשבון שירות
    • חסימת העלאות של מפתחות לחשבונות שירות
    • הגדרת הפרדת תפקידים לאדמינים של מדיניות הארגון
    • הפעלת אימות דו-שלבי בחשבונות סופר-אדמין
    • אכיפת אימות דו-שלבי ביחידה הארגונית של הסופר-אדמין
    • יצירת כתובת אימייל בלעדית לסופר-אדמין הראשי
    • יצירת חשבונות אדמין מיותרים
    • הטמעה של תגים כדי להקצות ביעילות מדיניות IAM ומדיניות ארגונית
    • ביקורת על שינויים ב-IAM שקשורים לסיכון גבוה
    • חסימת הגישה ל-Cloud Shell לחשבונות משתמשים מנוהלים ב-Cloud Identity
    • הגדרת בקרת גישה מבוססת-הקשר עבור מסופי Google
    • חסימת אפשרות השחזור העצמי של חשבונות סופר-אדמין
    • השבתה של שירותי Google שלא בשימוש
    • שימוש ב-Privileged Access Manager

  • שיטות מומלצות לארגון

    • הגבלת גרסאות TLS שנתמכות על ידי ממשקי Google API
    • הגבלת גורמים מורשים
    • הגבלת השימוש בשירות משאבים
    • הגבלת מיקומי משאבים

  • שיטות מומלצות לשימוש ברשת

    • חסימת ברירת המחדל ליצירת רשתות
    • הפעלת תוספי אבטחה של DNS
    • הפעלת הגבלת היקף השירות במדיניות של הרשאות גישה ב-Access Context Manager
    • הגבלת ממשקי API בתוך היקפי שירות של VPC Service Controls
    • שימוש ב-DNS אזורי
    • הפעלת גישה פרטית ל-Google
    • הפעלת גישה לשירותים פרטיים לבעלים של שירותים מנוהלים

  • שיטות מומלצות לרישום ביומן, למעקב ולהתראות

    • שיתוף יומני ביקורת מ-Cloud Identity
    • שימוש ביומני ביקורת
    • הפעלת ביקורת על פעילות של אדמינים
    • הפעלת יומני זרימה של VPC
    • הפעלת ניהול כללי חומת אש
    • הפעלת יומני ביקורת של גישה לנתונים
    • הגדרת התראות על חיוב
    • הפעלת יומני Access Transparency

  • שיטות מומלצות לניהול מפתחות וסודות

    • הצפנה של נתונים במנוחה ב- Google Cloud
    • שימוש באלגוריתמים שאושרו על ידי NIST להצפנה ולפענוח
    • הגדרת הייעוד של מפתחות Cloud Key Management Service
    • מוודאים שהגדרות ה-CMEK מתאימות למחסני נתונים מאובטחים ב-BigQuery
    • רוטציה של מפתח הצפנה כל 90 יום
    • הגדרה של רוטציה אוטומטית של סודות
    • הגבלת המיקום של מפתחות הצפנה בניהול הלקוח
    • שימוש ב-CMEK עבור Google Cloud שירותים
    • שכפול סודות באופן אוטומטי

  • שיטות מומלצות לניתוח נתוני אבטחה ולשיפור רמת האבטחה

    • הפעלת Security Command Center ברמת הארגון
    • הגדרת התראות מ-Security Command Center

• שיטות מומלצות לתשתית

  • שיטות מומלצות לשימוש ב-Compute

    • הגדרה של מכונות וירטואליות שיכולות להפעיל העברת IP
    • השבתת וירטואליזציה מוטמעת במכונה וירטואלית
    • הגבלת כתובות IP חיצוניות במכונות וירטואליות
    • הגדרה של כתובות IP חיצוניות מותרות למכונות וירטואליות
    • נדרש מחבר VPC לפונקציות Cloud Run
    • השבתה של כתובות IP חיצוניות למשימות Dataflow
    • שימוש בתגי רשת לכללי חומת אש

  • שיטות מומלצות ל-VMware Engine

    • הגבלת הקצאות של תפקידי אדמין ל-VMware Engine
    • שימוש בתפקיד 'צפייה בשירות VMware Engine' להרשאות מינימליות
    • שימוש ב-RBAC ובהרשאות מינימליות לתפקידים ב-vCenter Server Appliance
    • שימוש באיחוד שירותי אימות הזהות למשתמשי VMware
    • הקצאת תפקידים לקבוצות במקום לאנשים פרטיים ב-vCenter Server Appliance
    • לא מקצים את תפקיד הבעלים בענן לקבוצות משתמשים ב-vSphere
    • הימנעות משימוש בחשבונות שירות שמוגדרים כברירת מחדל ב-vCenter וב-NSX-T
    • החלפת סיסמאות לחשבונות שירות שמוגדרים כברירת מחדל ב-vCenter וב-NSX-T כל 90 יום
    • שימוש בחומת האש של NSX Gateway לפילוח תנועת צפון-דרום
    • שימוש בחומת האש המבוזרת של NSX לפילוח תנועה מזרח-מערב
    • יצירת רשתות משנה נפרדות לעומסי עבודה עם דרישות אבטחה שונות
    • יצירת יעד ליומן כדי לאחסן יומני ביקורת של VMware Engine
    • איסוף יומנים ברמת הפלטפורמה של VMware
    • מעקב אחרי אפליקציות באמצעות Logging ו-Monitoring
    • יצירת עננים פרטיים באזורים שתואמים לדרישות שלכם לגבי מיקום הנתונים
    • יישום של אסטרטגיית גיבוי ותוכנית התאוששות מאסון (DR)
    • הטמעה של הצפנה ברמת האפליקציה לעומסי עבודה ב-VMware
    • הפעלה של הצפנת נתונים במעבר באשכולות VMware vSAN
    • הגדרת הצפנה של נתונים במנוחה ב-vSAN לשימוש ב-CMEK
    • רוטציה של המפתחות שמשמשים להצפנת נתונים במצב מנוחה ב-vSAN

• שיטות מומלצות לניהול נתונים

  • שיטות מומלצות לאחסון

    • חסימת גישה ציבורית לקטגוריות של Cloud Storage
    • שימוש בגישה אחידה ברמת הקטגוריה
    • הגנה על מפתחות HMAC לחשבונות שירות
    • זיהוי של ספירת קטגוריות של Cloud Storage על ידי חשבונות שירות
    • איך מוודאים שמדיניות שמירת הנתונים של קטגוריה ב-Cloud Storage משתמשת בנעילת קטגוריה
    • הגדרת כללי מחזור חיים לפעולה SetStorageClass
    • הגדרת אזורים מותרים לסוגי אחסון
    • הפעלת ניהול מחזור החיים בקטגוריות של Cloud Storage
    • הפעלת כללים לניהול מחזור החיים בקטגוריות של Cloud Storage
    • בדיקה והערכה של השהיות זמניות על אובייקטים פעילים
    • אכיפה של כללי מדיניות שמירת נתונים בקטגוריות של Cloud Storage
    • אכיפה של תגי סיווג לקטגוריות של Cloud Storage
    • אכיפה של קטגוריות של יומנים לקטגוריות של Cloud Storage
    • הגדרה של כללי מחיקה לקטגוריות של Cloud Storage
    • מוודאים שהתנאי isLive הוא False בכללים למחיקה
    • אכיפת ניהול גרסאות לקטגוריות של Cloud Storage
    • אכיפת בעלות על קטגוריות של Cloud Storage
    • הפעלת רישום ביומן של פעילויות מרכזיות ב-Cloud Storage

המאמרים הבאים

• מידע נוסף על VMware Engine

• מעבר לפלטפורמת Google Cloud VMware Engine.