Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת שיטות מומלצות לאבטחה

בדף הזה מופיעה סקירה כללית של שיטות מומלצות לאבטחה, שמומלץ ליישם כדי לשפר את האבטחה וההגנה על הנתונים ב-Cloud Workstations. הרשימה הזו לא מהווה רשימת משימות מקיפה שמבטיחה אבטחה, או תחליף למצב האבטחה הקיים שלכם.

המטרה היא לספק לכם מדריך לשיטות המומלצות לאבטחה שמתאפשרות באמצעות Cloud Workstations. כדאי להוסיף את ההמלצות האלה לפתרונות האבטחה שלכם, כשזה רלוונטי, כחלק מהמאמצים לבניית גישת אבטחה רב-שכבתית. גישת אבטחה רב-שכבתית היא אחד מעקרונות האבטחה המרכזיים להפעלת שירותים מאובטחים ותואמים ב- Google Cloud.

רקע

שירות Cloud Workstations מספק תמונות בסיס מוגדרות מראש לשימוש בשירות. השירות בונה מחדש את התמונות האלה ומפרסם אותן מחדש מדי שבוע כדי לוודא שהתוכנה בחבילה כוללת את תיקוני האבטחה העדכניים ביותר. בנוסף, השירות משתמש בערך ברירת מחדל של זמן קצוב להפעלה בהגדרות תחנת העבודה כדי לוודא שתחנות העבודה מתעדכנות באופן אוטומטי ושדימויים שלא עודכנו לא נשארים פעילים.

עם זאת, Google Cloud לא מחזיק בבעלות על כל החבילות שכלולות בתמונות האלה. מנהלי חבילות עשויים לתת עדיפות שונה לעדכונים, בהתאם להשפעה של באג או של חולשות וחשיפות נפוצות (CVE) על המוצר שלהם. אם מוצר מסוים משתמש רק בחלק מהספרייה, יכול להיות שהוא לא יושפע מגילויים בחלקים אחרים של הספרייה. לכן, למרות שקיימים ממצאים של CVE מסריקות פגיעות של התמונות שלנו, Cloud Workstations עדיין מספק מוצר מאובטח.

‫Cloud Workstations יכול לעשות את זה כי הוא מספק מערכת אימות והרשאה שעוזרת להבטיח שרק המפתח המיועד יוכל לגשת לתחנת העבודה שלו. כמו בכל סביבת פיתוח, מפתחים צריכים לפעול לפי השיטות המומלצות כשהם משתמשים בעמדת העבודה שלהם. כדי להבטיח את רמת האבטחה הגבוהה ביותר, מומלץ להריץ רק קוד מהימן, לפעול רק על קלט מהימן ולגשת רק לדומיינים מהימנים. בנוסף, לא מומלץ להשתמש בתחנות עבודה לאירוח שרתי ייצור, או לשתף תחנת עבודה אחת עם כמה מפתחים.

אם אתם רוצים יותר שליטה באבטחה של קובצי האימג' של תחנות העבודה בארגון, אתם יכולים גם ליצור קובצי אימג' מותאמים אישית של קונטיינרים.

שימוש ב-Secure Web Proxy כדי לשלוט בגישה לאינטרנט לצורך מניעת אובדן נתונים (DLP) משופרת

כדי לחסום את כל הגישה לאינטרנט הציבורי – למשל, למניעת אובדן נתונים (DLP) – משביתים כתובות IP ציבוריות בהגדרות של תחנת העבודה. אם משביתים את כתובות ה-IP הציבוריות, צריך להגדיר גישה פרטית ל-Google או Cloud NAT ברשת. אם אתם משתמשים בגישה פרטית ל-Google ואתם משתמשים ב-private.googleapis.com או ב-restricted.googleapis.com בשביל Artifact Registry, הקפידו להגדיר רשומות DNS עבור דומיינים *.pkg.dev.

עם זאת, אם המפתחים שלכם צריכים גישה לאתרים חיצוניים מסוימים מהתחנות שלהם, אתם יכולים להשתמש ב Secure Web Proxy כדי לספק גישה לאתרים האלה עם אפשרות לביקורת, כולל הגנות DLP.

Secure Web Proxy עוזר לארגונים לאכוף גישה מפורטת לאינטרנט, ולשלוט בתעבורה היוצאת על סמך המקור, הזהות, היעד וסוג הבקשה. אפשר להגדיר את כללי המדיניות האלה בהקשר של Google Cloudניהול זהויות והרשאות גישה (IAM), באמצעות חשבונות שירות ותגים מאובטחים כדי להגביל את התעבורה, למשל ליעד ספציפי.

בנוסף, Secure Web Proxy מציע שירות בדיקת TLS ניתן להרחבה, שמאפשר לאכוף מדיניות על תעבורת TLS מוצפנת שנקלטה.

‫Secure Web Proxy משתלב עם Cloud Logging כדי לתעד מדדים ויומני עסקאות. כדי לזהות את תחנת העבודה שממנה הגיע רשומה מסוימת ביומן, צריך למצוא את כתובת ה-IP של המכונה הווירטואלית ברשומה ביומן, ואז להשתמש ביומנים של פלטפורמת תחנת העבודה כדי לקשר את כתובת ה-IP הזו לתחנת העבודה המתאימה.

אתם יכולים להשתמש בתמונה מותאמת אישית כדי להגדיר את https_proxy ואת http_proxy ל-Secure Web Proxy בתחנות העבודה שלכם.

הגבלת גישת SSH ישירה

חשוב להגביל את גישת ה-SSH הישירה למכונות הווירטואליות בפרויקט שמארח את Cloud Workstations, כך שהגישה תתאפשר רק דרך שער Cloud Workstations, שבו נאכפים כללי המדיניות של ניהול הזהויות והרשאות הגישה (IAM) ואפשר להפעיל את יומני הזרימה של VPC.

כדי להשבית גישת SSH ישירה למכונה וירטואלית, מריצים את הפקודה הבאה ב-Google Cloud CLI:

    gcloud workstations configs update CONFIG \
        --cluster=CLUSTER \
        --region=REGION \
        --project=PROJECT \
        --disable-ssh-to-vm

הגבלת הגישה למשאבים רגישים

הגדירו מתחם אבטחה היקפית של VPC Service Controls כדי להגביל את הגישה למשאבים רגישים מתחנות העבודה, וכך למנוע זליגת נתונים וקוד מקור.

עבודה בהתאם לעיקרון של הרשאות מינימליות

הקפידו על העיקרון של הרשאות מינימליות כשאתם מקצים הרשאות ומקצים משאבים.

הרשאות IAM

משתמשים בהגדרת ברירת המחדל של ניהול זהויות והרשאות גישה, ומגבילים את הגישה לתחנת העבודה למפתח אחד. כך אפשר לוודא שכל מפתח משתמש במופע ייחודי של תחנת עבודה עם מכונה וירטואלית בסיסית נפרדת, וכך לשפר את הבידוד של הסביבה. עורכי הקוד והאפליקציות של Cloud Workstations פועלים בתוך קונטיינר שפועל במצב הרשאות עם גישת root, כדי להגדיל את הגמישות של המפתחים. כך כל מפתח מקבל תחנת עבודה ייחודית, וגם אם משתמש יצליח לצאת מהקונטיינר הזה, הוא עדיין יהיה בתוך המכונה הווירטואלית שלו ולא יוכל לגשת למשאבים חיצוניים נוספים.

הגדרת הרשאות IAM שמגבילות את הגישה של משתמשים שאינם אדמינים לשינוי הגדרות תחנות עבודה וקובצי אימג' לקונטיינרים ב-Artifact Registry.

בנוסף, Google ממליצה להגדיר הרשאות IAM שמגבילות את הגישה של משתמשים שאינם אדמינים לכל אחד ממשאבי Compute Engine הבסיסיים בפרויקט שמארח את Cloud Workstations.

מידע נוסף זמין במאמר בנושא שימוש מאובטח ב-IAM.

הרשאות ב-Cloud KMS

כדי לתמוך טוב יותר בעיקרון של הרשאות מינימליות, מומלץ לשמור את משאבי Cloud KMS ואת משאבי Cloud Workstations ב Google Cloud פרויקטים נפרדים. יוצרים את פרויקט מפתח Cloud KMS בלי owner ברמת הפרויקט, ומקצים אדמין ארגוני עם הרשאה ברמת הארגון. בניגוד לowner, אדמין ארגוני לא יכול לנהל או להשתמש במפתחות באופן ישיר. הם מוגבלים להגדרת מדיניות IAM, שמגבילה את האנשים שיכולים לנהל ולהשתמש במפתחות.

המושג הזה נקרא גם הפרדת תפקידים,והוא מתייחס להקפדה על כך שלאדם אחד לא יהיו כל ההרשאות הנדרשות כדי לבצע פעולה זדונית. מידע נוסף זמין במאמר בנושא הפרדת תפקידים.

החלת עדכונים ותיקונים אוטומטיים של תמונות

מוודאים שבתחנות העבודה שלכם נעשה שימוש בגרסה העדכנית של תמונות הבסיס של Cloud Workstations, שמכילה את תיקוני האבטחה והתיקונים האחרונים. הערך של זמן קצוב לתפוגה של הפעלה בהגדרת תחנת העבודה עוזר לוודא שתחנות עבודה שנוצרו עם ההגדרה הזו יתעדכנו באופן אוטומטי בהפעלה הבאה, כך שיתאימו לגרסה העדכנית ביותר של קובץ אימג' של קונטיינר שמוגדר בהגדרת תחנת העבודה.

אם הארגון שלכם משתמש באחד מתמונות הבסיס של Cloud Workstations, תחנת העבודה מקבלת באופן אוטומטי את כל העדכונים של הגדרות תחנת העבודה בפעם הבאה שמכבים ומפעילים מחדש את תחנת העבודה. הגדרה של runningTimeout או שימוש בברירת המחדל עוזרים לוודא שתחנות העבודה האלה יכובו.
אם הארגון שלכם משתמש בתמונה בהתאמה אישית, חשוב לבנות מחדש את התמונה באופן קבוע.

שמירה על תמונות בהתאמה אישית

באחריותכם לתחזק ולעדכן חבילות מותאמות אישית ותלויות שנוספו לתמונות מותאמות אישית.

אם אתם יוצרים תמונות מותאמות אישית, מומלץ:

מריצים כלי לסריקת מאגרים כמו Artifact Analysis כדי לבדוק תלות נוספת שהוספתם.
קובעים מועדים לבנייה כדי לבנות מחדש את קובצי האימג' של הקונטיינר מדי שבוע, או קוראים איך מבצעים אוטומציה של בנייה מחדש של קובצי אימג' של קונטיינר.

הגדרת VPC Flow Logs

כשיוצרים אשכול של תחנות עבודה, Cloud Workstations משייך את האשכול לתת-רשת מסוימת, וכל תחנות העבודה ממוקמות בתת-הרשת הזו. כדי להפעיל את VPC Flow Logs, צריך לוודא שהפעלתם את הרישום ביומן עבור רשת המשנה הזו. מידע נוסף זמין במאמר בנושא הפעלת יומני תעבורה של VPC עבור רשת משנה קיימת.

הפעלת זיהוי איומים במכונות וירטואליות ב-Security Command Center

‫Security Command Center הוא פתרון לניהול סיכונים מבוסס-ענן שעוזר לאנשי מקצוע בתחום האבטחה למנוע בעיות אבטחה, לזהות אותן ולהגיב להן. מכיוון שתחנות עבודה פועלות על מכונה וירטואלית ייעודית לכל תחנת עבודה, אפשר להשתמש בזיהוי איומים במכונה וירטואלית כדי לזהות אפליקציות שעלולות להיות זדוניות, כמו תוכנות לכריית מטבעות קריפטוגרפיים, ערכות כלים לרוטקיט במצב ליבה ותוכנות זדוניות שפועלות בתחנת העבודה.

כשבודקים את הממצאים של מכונות וירטואליות, אפשר למצוא את תחנת העבודה שהוקצתה למכונה הווירטואלית על ידי בדיקת תוויות תחנות העבודה במכונה הווירטואלית, או על ידי שימוש ביומני הפלטפורמה של תחנות העבודה כדי לחפש הקצאות היסטוריות.

הגדרת שיטות מומלצות לאבטחה קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

רקע