En este documento, se incluyen las prácticas recomendadas y los lineamientos para los servicios de Cloud de Confiance by S3NS, como Compute Engine, Google Kubernetes Engine (GKE), Pub/Sub, Dataflow y las funciones de Cloud Run cuando se ejecutan cargas de trabajo enCloud de Confiance by S3NS.
Controles de procesamiento
Estos controles se aplican a los servicios de procesamiento.
Define instancias de VM que pueden habilitar el reenvío de IP
| ID de control de Google | VPC-CO-6.3 |
|---|---|
| Implementación | Obligatorio |
| Descripción | La restricción
compute.vmCanIpForward define las instancias de VM que pueden habilitar el reenvío de IP. De forma predeterminada, cualquier VM puede habilitar el reenvío de IP en cualquier red virtual. Especifica las instancias de VM con uno de los siguientes formatos:
|
| Productos aplicables |
|
| Ruta | constraints/compute.vmCanIpForward |
| Operador | = |
| Valor |
|
| Tipo | Lista |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Inhabilita la virtualización anidada de VM
| ID de control de Google | VPC-CO-6.6 |
|---|---|
| Implementación | Obligatorio |
| Descripción | La restricción booleana
compute.disableNestedVirtualization inhabilita la virtualización anidada por aceleración de hardware para las VMs de Compute Engine. |
| Productos aplicables |
|
| Ruta | constraints/compute.disableNestedVirtualization |
| Operador | Es |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Restringe direcciones IP externas en VMs
| ID de control de Google | VPC-CO-6.2 |
|---|---|
| Implementación | Obligatorio |
| Descripción | A menos que sea necesario, impide la creación de instancias de Compute Engine con direcciones IP públicas. La restricción de lista Evita que las instancias de Compute Engine tengan direcciones IP externas para reducir drásticamente su exposición a Internet. Cualquier instancia con una dirección IP externa se puede descubrir de inmediato y se convierte en un objetivo directo para los análisis automatizados, los ataques de fuerza bruta y los intentos de aprovechar las vulnerabilidades. En cambio, exige que las instancias usen direcciones IP privadas y administra el acceso a través de rutas controladas, autenticadas y registradas, como el túnel de Identity-Aware Proxy (IAP) o un host de bastión. Adoptar esta postura de denegación predeterminada es una práctica recomendada de seguridad fundamental que ayuda a minimizar la superficie de ataque y aplica un enfoque de confianza cero a tu red. Esta restricción no es retroactiva. |
| Productos aplicables |
|
| Ruta | constraints/compute.vmExternalIpAccess |
| Operador | = |
| Valor |
|
| Tipo | Lista |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Cómo definir direcciones IP externas permitidas para instancias de VM
| ID de control de Google | CBD-CO-6.3 |
|---|---|
| Implementación | Obligatorio |
| Descripción | La restricción de lista |
| Productos aplicables |
|
| Ruta | compute.vmExternalIpAccess |
| Operador | = |
| Valor |
|
| Tipo | Lista |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Inhabilitar el acceso al puerto en serie de VM
| Implementación | Obligatorio |
|---|---|
| Descripción | Desactiva el acceso al puerto en serie configurando la restricción de la política de la organización Inhabilitar el acceso al puerto en serie ayuda a aplicar una postura de seguridad de defensa en profundidad, ya que obliga a todo el acceso de administrador a través de rutas auditadas estándar, como SSH, que puedes proteger habilitando Identity and Access Management (IAM) y Identity-Aware Proxy (IAP). |
| Productos aplicables |
Compute Engine |
| Ruta | constraints/compute.disableSerialPortAccess |
| Operador | = |
| Valor |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Exige un conector de VPC para las funciones de Cloud Run
| ID de control de Google | CF-CO-4.4 |
|---|---|
| Implementación | Obligatorio |
| Descripción | La restricción booleana |
| Productos aplicables |
|
| Ruta | constraints/cloudfunctions.requireVPCConnector |
| Operador | = |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Habilita las funciones de VM protegida
| Implementación | Obligatorio |
|---|---|
| Descripción | Activa los atributos de supervisión de integridad y del módulo de plataforma segura virtual (vTPM) de la VM protegida para tus instancias. Los atributos de supervisión de integridad y del vTPM forman parte del proceso predeterminado de creación de instancias de VM. Usa los atributos de supervisión de integridad y vTPM de la VM protegida para garantizar que tus VMs solo se inicien con código de confianza sin modificar. El vTPM proporciona un criptoprocesador virtual seguro que genera y almacena mediciones criptográficas de toda la secuencia de inicio, desde el firmware UEFI hasta los controladores del kernel. Luego, la supervisión de integridad compara continuamente estas mediciones del tiempo de ejecución con un modelo de referencia adecuado conocido que se estableció cuando se creó la VM por primera vez. Estas funciones proporcionan una cadena de confianza verificable y te alertan automáticamente o toman medidas si detectan modificaciones maliciosas, como las de un bootkit o un rootkit. Las funciones de VM protegida ayudan a mantener la integridad de tu carga de trabajo desde el momento en que se enciende la instancia. |
| Productos aplicables |
Compute Engine |
| Ruta | compute.instances/shieldedInstanceConfig.enableVtpm |
| Operador | Es |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Aplica el Acceso al SO para las VMs
| Implementación | Obligatorio |
|---|---|
| Descripción | Si permites que los desarrolladores accedan a los recursos de Compute Engine a través de SSH, configura el Acceso al SO con la verificación en 2 pasos. Usa Acceso al SO para administrar las llaves SSH con políticas de Identity and Access Management (IAM) configurando la restricción de la política de la organización Vincular los permisos de SSH a la identidad de un usuario es fundamental para la seguridad, ya que quitar el rol de IAM de un usuario revoca instantáneamente su acceso en todas las instancias, lo que protege contra la entrada no autorizada de cuentas obsoletas. El sistema simplifica la administración de claves para ayudar a evitar la proliferación de claves y proporciona un registro de auditoría claro y centralizado para todos los eventos de acceso en los registros de auditoría de Cloud. El Acceso al SO también te permite aplicar la autenticación de dos factores, lo que agrega una capa de protección fundamental contra las credenciales y las llaves SSH robadas. Un atacante con tokens de OAuth vulnerados, pero sin una contraseña ni una llave de seguridad está bloqueado por esta función. El acceso de protocolo de escritorio remoto (RDP) a las instancias de Windows en Compute Engine no admite el servicio de Acceso al SO, por lo que la verificación en 2 pasos no se puede aplicar de forma detallada para las sesiones de RDP. Cuando uses IAP Desktop o complementos de RDP basados en Google Chrome, configura controles generales, como la duración de la sesión para los servicios de Google y la configuración de la verificación en 2 pasos para las sesiones web del usuario. Además, inhabilita el parámetro de configuración Permitir que el usuario confíe en el dispositivo en la verificación en 2 pasos. |
| Productos aplicables |
Compute Engine |
| Ruta | compute.projects/commonInstanceMetadata.items |
| Operador | Es |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Configura políticas de almacenamiento de mensajes
| ID de control de Google | PS-CO-4.1 |
|---|---|
| Implementación | Opcional |
| Descripción | Si publicas mensajes en el extremo global de Pub/Sub, Pub/Sub almacena automáticamente los mensajes en la región Cloud de Confiance by S3NS más cercana. Para controlar en qué regiones se almacenan tus mensajes, configura una política de almacenamiento de mensajes en tu tema.
Usa una de las siguientes formas para configurar las políticas de almacenamiento de mensajes para temas:
|
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Desactiva las direcciones IP externas para los trabajos de Dataflow
| ID de control de Google | DF-CO-6.1 |
|---|---|
| Implementación | Opcional |
| Descripción | Desactiva las direcciones IP externas para las tareas administrativas y de supervisión relacionadas con los trabajos de Dataflow. En su lugar, configura el acceso a tus VMs de trabajador de Dataflow con SSH. Habilita el Acceso privado a Google y especifica una de las siguientes opciones en tu trabajo de Dataflow:
Aquí:
|
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa etiquetas de red para las reglas de firewall
| ID de control de Google | DF-CO-6.2 |
|---|---|
| Implementación | Opcional |
| Descripción | Las etiquetas de red son atributos de texto que se adjuntan a las VMs de Compute Engine, como las VMs de trabajador de Dataflow. Las etiquetas de red te permiten hacer que las reglas de firewall de la red de VPC y algunas rutas estáticas personalizadas se puedan aplicar a instancias de VM específicas. Dataflow admite la adición de etiquetas de red a todas las VMs de trabajador que ejecutan un trabajo de Dataflow en particular. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Controles de contenedores
Estos controles se aplican a los contenedores dentro de GKE.
Restringe el acceso al plano de control
| ID de control de Google | GKE-CO-1.1 |
|---|---|
| Implementación | Obligatorio |
| Descripción | De forma predeterminada, el plano de control y los nodos del clúster de Google Kubernetes Engine (GKE) tienen direcciones enrutables de Internet a las que se puede acceder desde cualquier dirección IP. Restringe el acceso de red al plano de control con un extremo basado en DNS y creando clústeres privados. El plano de control es el centro de administración de un clúster de Kubernetes, y exponerlo a Internet lo convierte en un objetivo principal para los atacantes. Esta configuración hace que el plano de control sea privado y lo quita de Internet. Restringir el acceso al plano de control ayuda a garantizar que solo los dispositivos de confianza dentro de la red privada de tu organización puedan administrar el clúster, lo que reduce drásticamente el riesgo de un ataque externo. |
| Productos aplicables |
GKE |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa reglas de firewall de privilegio mínimo
| ID de control de Google | GKE-CO-1.2 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Cuando crees reglas de firewall, usa el principio de privilegio mínimo para proporcionar acceso solo para el propósito requerido. Cuando sea posible, asegúrate de que tus reglas de firewall no entren en conflicto con las reglas de firewall predeterminadas de GKE. |
| Productos aplicables |
GKE |
| Controles relacionados de NIST-800-53 |
|
| Información relacionada |
Usa Grupos de Google para RBAC
| ID de control de Google | GKE-CO-1.3 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Usa Grupos de Google para el control de acceso basado en roles (RBAC), que también te permite integrarte en las prácticas de administración de cuentas de usuario existentes, como revocar el acceso cuando alguien abandona la organización. Los Grupos de Google para RBAC ayudan a proporcionar una administración eficiente del acceso al clúster con Identity and Access Management (IAM) y Grupos de Google, lo que es adecuado para la mayoría de las organizaciones que usan Grupos de Google. |
| Productos aplicables |
Google Kubernetes Engine (GKE) |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Habilitar nodos de GKE protegidos
| ID de control de Google | GKE-CO-1.4 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Habilita los nodos de GKE protegidos para la verificación criptográfica de los nodos en tu clúster. Los nodos de GKE protegidos proporcionan una identidad y una integridad de nodo sólidas y verificables. Habilita los nodos de GKE protegidos cuando crees o actualices clústeres. Cuando sea posible, usa nodos de GKE protegidos con inicio seguro para autenticar también los componentes de inicio de las VMs de nodos durante el proceso de inicio. No uses el inicio seguro si necesitas módulos de kernel sin firmar de terceros. Los nodos de GKE protegidos están habilitados de forma predeterminada cuando creas un clúster. |
| Productos aplicables |
GKE |
| Controles relacionados de NIST-800-53 |
|
| Información relacionada |
Usa Container-Optimized OS con el entorno de ejecución de containerd
| ID de control de Google | GKE-CO-1.5 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Usa Container-Optimized OS para implementar un SO de contenedor endurecido y administrado. Los sistemas operativos de uso general incluyen muchos programas adicionales que no son necesarios para ejecutar contenedores y, por lo tanto, crean un objetivo más grande e innecesario para los atacantes. Container-Optimized OS es un sistema operativo minimalista y bloqueado que reduce significativamente esta superficie de ataque, ya que solo incluye lo necesario. Como SO administrado, Container-Optimized OS también tiene parches de seguridad que Google aplica automáticamente, lo que ayuda a garantizar que se corrijan las vulnerabilidades críticas y reduce tu carga de trabajo operativa. Una imagen que incluye Container-Optimized OS con containerd (cos_containerd) tiene containerd como el entorno de ejecución principal de contenedores integrado directamente en Kubernetes. containerd es el componente principal del entorno de ejecución de Docker y está diseñado para proporcionar la funcionalidad principal de contenedores para la interfaz de tiempo de ejecución de contenedores (CRI) de Kubernetes. Es significativamente menos complejo que el daemon de Docker completo y, por lo tanto, tiene una menor superficie de ataque. |
| Productos aplicables |
Container-Optimized OS |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa la federación de identidades para cargas de trabajo para GKE
| ID de control de Google | GKE-CO-1.6 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Usa Workload Identity Federation for GKE para autenticarte de forma segura en las APIs de las cargas de trabajo de Google Kubernetes Engine (GKE). Cloud de Confiance by S3NS Workload Identity Federation for GKE proporciona una alternativa más simple y segura al uso de claves de cuentas de servicio. |
| Productos aplicables |
GKE |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Habilita GKE Sandbox
| ID de control de Google | GKE-CO-1.7 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Usa GKE Sandbox para proporcionar una capa adicional de seguridad que ayude a evitar que el código no confiable afecte el kernel del host en los nodos de tu clúster de Google Kubernetes Engine (GKE). GKE Sandbox mejora el aislamiento de las cargas de trabajo no confiables o sensibles, y proporciona una capa adicional de protección contra ataques de escape de contenedores. |
| Productos aplicables |
GKE |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Inhabilita el puerto de solo lectura de kubelet
| ID de control de Google | GKE-CO-1.9 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Inhabilita el puerto de solo lectura de kubelet 10255 y usa el puerto más seguro 10250 en su lugar. Kubernetes no realiza ninguna verificación de autenticación ni de autorización en este puerto. Kubelet entrega los mismos extremos en el puerto 10250 autenticado y más seguro. Solo puedes inhabilitar el puerto de solo lectura no seguro de kubelet en la versión 1.26.4-gke.500 de GKE o versiones posteriores. |
| Productos aplicables |
GKE |
| Controles relacionados de NIST-800-53 |
|
| Información relacionada |
Usa espacios de nombres y RBAC para restringir el acceso a los recursos del clúster
| ID de control de Google | GKE-CO-1.10 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Crea espacios de nombres o clústeres separados para cada equipo y entorno para implementar el acceso de privilegio mínimo a Kubernetes. Asigna centros de costos y etiquetas adecuadas a cada espacio de nombres para la rendición de cuentas y la devolución del cargo. Solo brinda a los desarrolladores el nivel de acceso a su espacio de nombres que necesitan para implementar y administrar su aplicación, sobre todo en producción. Asigna las tareas que los usuarios deben realizar en el clúster y define los permisos que requieren para realizar cada tarea. Asigna los roles de Identity and Access Management (IAM) adecuados para Google Kubernetes Engine (GKE) a grupos y usuarios con el fin de otorgar permisos a nivel de proyecto, y usa RBAC para otorgar permisos a nivel de clúster y espacio de nombres. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Información relacionada |
Restringe el tráfico entre pods
| ID de control de Google | GKE-CO-1.11 |
|---|---|
| Implementación | Obligatorio |
| Descripción | De forma predeterminada, todos los pods de un clúster pueden comunicarse entre sí. Controla la comunicación de pod a pod según sea necesario para tus cargas de trabajo. Restringir el acceso de red a los servicios hace que sea mucho más difícil para los atacantes moverse de forma lateral dentro del clúster y también ofrece a los servicios cierta protección contra la denegación accidental o deliberada del servicio. Existen dos formas de controlar el tráfico:
|
| Productos aplicables |
GKE |
| Controles relacionados de NIST-800-53 |
|
| Información relacionada |
Usa controladores de admisión para aplicar políticas
| ID de control de Google | GKE-CO-1.12 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Los controladores de admisión son complementos que rigen y aplican la forma en que se usa el clúster. Habilítalos para usar algunas de las funciones de seguridad más avanzadas de Kubernetes, ya que son una parte importante del enfoque de defensa en profundidad para endurecer tu clúster. De forma predeterminada, los pods en Kubernetes pueden operar con más funciones de las necesarias. Usa controles de admisión para restringir las capacidades del Pod solo a las que se requieren para esa carga de trabajo. GKE admite varios controles para restringir tus pods de modo que se ejecuten solo con las capacidades otorgadas de forma explícita. Por ejemplo, Policy Controller está disponible para clústeres en flotas. Kubernetes también tiene el controlador de admisión PodSecurity integrado que te permite aplicar los Estándares de seguridad de Pods en clústeres individuales. Policy Controller es una función de GKE que te permite aplicar y validar la seguridad en los clústeres de GKE a gran escala mediante políticas declarativas. |
| Productos aplicables |
GKE |
| Controles relacionados de NIST-800-53 |
|
| Información relacionada |
Restringe la capacidad de las cargas de trabajo de realizar modificaciones automáticas
| ID de control de Google | GKE-CO-1.13 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Algunas cargas de trabajo de Kubernetes, en especial las del sistema, tienen permiso para realizar modificaciones automáticas. Por ejemplo, algunas cargas de trabajo se escalan automáticamente. Si bien es conveniente, la modificación automática puede permitir que un atacante que ya haya vulnerado un nodo pueda escalar más a fondo en el clúster. Por ejemplo, un atacante podría hacer que una carga de trabajo en el nodo se modifique a sí misma para ejecutarse como una cuenta de servicio con más privilegios que exista en el mismo espacio de nombres. No otorgues a las cargas de trabajo el permiso para modificarse a sí mismas de forma predeterminada. Cuando la modificación automática es necesaria, limita los permisos aplicando restricciones de Gatekeeper o de Policy Controller, como NoUpdateServiceAccount de la biblioteca de Gatekeeper de código abierto, que proporciona varias políticas de seguridad útiles. Cuando implementes políticas, permite que los controladores que administran el ciclo de vida del clúster omitan las políticas. Los controladores deben realizar cambios en el clúster, como aplicar actualizaciones del clúster. Por ejemplo, si implementas la política NoUpdateServiceAccount en GKE, debes establecer los siguientes parámetros en la restricción: parameters: allowedGroups: - system:masters allowedUsers: - system:addon-manager |
| Productos aplicables |
GKE |
| Controles relacionados de NIST-800-53 |
|
| Información relacionada |
Supervisa la configuración de tus clústeres
| ID de control de Google | GKE-CO-1.14 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Audita la configuración de tu clúster para detectar desviaciones de la configuración definida. La configuración que se incluye en estas prácticas recomendadas, así como otras configuraciones incorrectas comunes, se pueden verificar automáticamente con Security Command Center. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Información relacionada |
Aplica la autorización binaria
| ID de control de Google | BIN-CO-1.1 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Usa la Autorización binaria para asegurarte de que las imágenes confiables se implementen en Google Kubernetes Engine (GKE) y Cloud Run. La Autorización Binaria ayuda a garantizar que solo se puedan implementar imágenes de contenedores verificadas y confiables en tus clústeres, lo que fortalece la seguridad de la cadena de suministro de software. |
| Productos aplicables |
|
| Ruta | constraints/binaryauthorization.requireBinauthz |
| Operador | == |
| Valor |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Use GKE Autopilot
| Implementación | Obligatorio |
|---|---|
| Descripción | Usa clústeres de Autopilot de Google Kubernetes Engine (GKE). Los clústeres de Autopilot ofrecen medidas de seguridad sólidas, con muchas prácticas recomendadas de seguridad para contenedores o GKE habilitadas de forma predeterminada. |
| Productos aplicables |
GKE |
| Ruta | container.clusters/autopilot.enabled |
| Operador | Es |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa cuentas privilegio mínimo para los clústeres y nodos de GKE
| Implementación | Obligatorio |
|---|---|
| Descripción | Usa cuentas de servicio de Identity and Access Management (IAM) con privilegios mínimos para los clústeres y nodos de Google Kubernetes Engine (GKE). El acceso al plano de control de GKE está restringido a un solo extremo basado en DNS. La implementación del principio de privilegio mínimo reduce significativamente la superficie de ataque sin necesidad de reglas de firewall adicionales ni hosts bastión. |
| Productos aplicables |
GKE |
| Ruta | container.clusters/nodeConfig.serviceAccount |
| Operador | != |
| Valor |
|
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa nodos de GKE privados
| Implementación | Obligatorio |
|---|---|
| Descripción | Crea nodos privados para reducir la exposición a Internet. Los nodos privados de Google Kubernetes Engine (GKE) ayudan a reducir la exposición a Internet, ya que garantizan que los nodos de GKE no tengan una dirección IP pública. |
| Productos aplicables |
GKE |
| Ruta | container.clusters/networkConfig.defaultEnablePrivateNodes |
| Operador | Es |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa Confidential Google Kubernetes Engine Nodes
| Implementación | Obligatorio |
|---|---|
| Descripción | Usa Confidential GKE Nodes para aplicar la encriptación de los datos en uso en tus nodos y cargas de trabajo. Los Confidential GKE Nodes ayudan a proteger las cargas de trabajo altamente sensibles encriptando los datos en uso a través de Confidential Computing. |
| Productos aplicables |
Google Kubernetes Engine (GKE) |
| Ruta | container.clusters/confidentialNodes.enabled |
| Operador | Es |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Ejecuta una autoridad certificadora personalizada en GKE
| Implementación | Obligatorio |
|---|---|
| Descripción | Ejecuta tus propias autoridades certificadoras para administrar claves dentro de Google Kubernetes Engine (GKE). Usar tus propias autoridades certificadoras te permite tener un mayor control sobre las operaciones criptográficas. Para solicitar acceso a esta función, comunícate con tu Cloud de Confiance by S3NS equipo de cuentas. |
| Productos aplicables |
GKE |
| Ruta | container.clusters/userManagedKeysConfig.clusterCa |
| Operador | Se establece |
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Encripta los Secretos de Kubernetes con Cloud KMS
| Implementación | Obligatorio |
|---|---|
| Descripción | Encripta los Secrets de Kubernetes en reposo con claves administradas por Cloud Key Management Service (Cloud KMS). Cloud KMS proporciona una capa adicional de seguridad para los datos de etcd, ya que te permite encriptar secretos de Kubernetes con una clave que posees y administras. |
| Productos aplicables |
|
| Ruta | container.clusters/databaseEncryption.keyName |
| Operador | Se establece |
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa CMEK para los discos de arranque de nodos
| Implementación | Obligatorio |
|---|---|
| Descripción | Usa claves de encriptación administradas por el cliente (CMEK) para encriptar los discos de arranque de nodos. CMEK te permite encriptar el disco de arranque de un nodo de Kubernetes con una clave que te pertenece y que administras. |
| Productos aplicables |
|
| Ruta | container.clusters/nodeConfig.bootDiskKmsKey |
| Operador | Se establece |
| Tipo | String |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Controles de VMware Engine
Limita las asignaciones de roles de administrador para VMware Engine
| ID de control de Google | GCVE-CO-3.1 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Solo otorga roles de administrador a las cuentas de servicio que implementan y configuran nubes privadas de Google Cloud VMware Engine, y a una cantidad limitada de administradores. Por lo general, la adición o eliminación manual de clústeres y nodos es una acción que no ocurre con frecuencia y que puede tener un gran impacto en la facturación o la disponibilidad del clúster. Asegúrate de auditar periódicamente a quién se le asignó el rol de administrador de servicios de VMware Engine, ya sea directamente en el proyecto que se usa para VMware Engine o en uno de los niveles superiores de la jerarquía de recursos. Esta auditoría debe incluir otros roles, como los roles básicos de Editor y Propietario, que incluyen permisos críticos relacionados con VMware Engine. Puedes usar servicios como el recomendador de roles de IAM para identificar roles con privilegios excesivos. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa el rol de visualizador del servicio de VMware Engine para aplicar el principio de privilegio mínimo
| ID de control de Google | GCVE-CO-3.3 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Otorga el rol de visualizador del servicio de VMware Engine a los usuarios de forma predeterminada y solo si es necesario. El rol de visualizador del servicio de VMware Engine proporciona acceso de solo lectura a Google Cloud VMware Engine en Cloud de Confiance by S3NS y está diseñado para ser suficiente para la mayoría de las tareas. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa RBAC y el principio de privilegio mínimo para los roles del dispositivo de vCenter Server
| ID de control de Google | GCVE-CO-3.4 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Cuando otorgues roles a nivel de VMware en vCenter Server Appliance, usa controles de acceso basados en roles (RBAC) y el principio de privilegio mínimo. |
| Productos aplicables |
VMware Engine |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa la federación de identidades para usuarios de VMware
| ID de control de Google | GCVE-CO-3.5 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Mantén una única solución de identidad en la que puedas aprovisionar y administrar cuentas de usuario. Esta práctica recomendada te permite centralizar actividades como la administración del ciclo de vida de la identidad, la administración de grupos y la administración de contraseñas. Evita crear una estrategia de identidad fragmentada. |
| Productos aplicables |
VMware Engine |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Otorga roles a grupos en lugar de a personas para el dispositivo de vCenter Server
| ID de control de Google | GCVE-CO-3.6 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Cuando otorgues roles a nivel de VMware en vCenter Server Appliance, otórgales roles a los grupos que crees en tu proveedor de identidad. No crees una estrategia de identidad fragmentada. |
| Productos aplicables |
VMware Engine |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
No asignes el rol de propietario de Cloud a grupos de usuarios en vSphere
| ID de control de Google | GCVE-CO-3.7 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Cuando crees grupos de usuarios en vSphere, no asignes el rol Cloud-propietario-Role. Este rol otorga control administrativo sobre el entorno de vCenter de tu nube privada y, al mismo tiempo, restringe ciertos permisos subyacentes de la infraestructura global. Los grupos de usuarios con permisos superiores a Cloud-propietario-Role se restablecen automáticamente a Cloud-propietario-Role. |
| Productos aplicables |
VMware Engine |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Evita usar las cuentas de servicio predeterminadas de vCenter y NSX-T
| ID de control de Google | GCVE-CO-3.8 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Excepto en el proceso de configuración inicial y en los procedimientos de emergencia, no uses la cuenta de servicio predeterminada de vCenter (CloudOwner@gve.local) ni el administrador de la cuenta de servicio predeterminada de NSX-T (admin). Estas cuentas de servicio predeterminadas incluyen permisos potentes, como Cloud-propietario-Role y Enterprise Admin. Guarda las credenciales de estas cuentas de servicio en Secret Manager. |
| Productos aplicables |
VMware Engine |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Rota las contraseñas de las cuentas de servicio predeterminadas de vCenter y NSX-T cada 90 días
| ID de control de Google | GCVE-CO-3.9 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Para evitar y mitigar la divulgación no autorizada de las credenciales de la cuenta de servicio predeterminada de vCenter (CloudOwner@gve.local) y del administrador de la cuenta de servicio predeterminada de NSX-T (admin), rota sus contraseñas cada 90 días. |
| Productos aplicables |
VMware Engine |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa el firewall de puerta de enlace de NSX para segmentar el tráfico de norte a sur
| ID de control de Google | GCVE-CO-1.2 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Controla el tráfico de red de norte a sur que entra y sale de tus nubes privadas con el firewall de puerta de enlace de NSX. Los firewalls de puerta de enlace de NSX son firewalls de norte a sur que ayudan a proteger los perímetros. |
| Productos aplicables |
VMware Engine |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Usa el firewall distribuido de NSX para segmentar el tráfico este-oeste
| ID de control de Google | GCVE-CO-1.3 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Controla el tráfico de red este-oeste dentro de tu nube privada con el firewall distribuido (DFW) de NSX. De forma predeterminada, todas las subredes pueden comunicarse entre sí. Usa DFW para definir el tráfico permitido entre las aplicaciones y los servicios dentro de tu aplicación. |
| Productos aplicables |
VMware Engine |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Crea subredes separadas para las cargas de trabajo con diferentes requisitos de seguridad
| ID de control de Google | GCVE-CO-1.4 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Si ejecutas cargas de trabajo que tienen diferentes requisitos de seguridad o clasificaciones de datos, crea subredes de carga de trabajo para separarlas. Las subredes te permiten reducir el radio del impacto potencial, ya que no mezclan cargas de trabajo con diferentes requisitos y posturas de seguridad. |
| Productos aplicables |
VMware Engine |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Crea un receptor de registros para almacenar los registros de auditoría de VMware Engine
| ID de control de Google | GCVE-CO-4.1 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Usa un receptor de registros para almacenar los registros de auditoría de la API de Google Cloud VMware Engine. Puedes enrutar los registros de auditoría a diferentes destinos según sea necesario. |
| Productos aplicables |
VMware Engine |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Recopila registros de la plataforma a nivel de VMware
| ID de control de Google | GCVE-CO-4.2 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Para recopilar registros de la plataforma a nivel de VMware (por ejemplo, mensajes syslog de vCenter y NSX-T), configura las nubes privadas de Google Cloud VMware Engine para que reenvíen los registros syslog a un agregador de registros centralizado. Estos registros no se recopilan en los registros de auditoría de VMware Engine y se deben recopilar por separado. |
| Productos aplicables |
VMware Engine |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Supervisa aplicaciones con Logging y Monitoring
| ID de control de Google | GCVE-CO-4.3 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Instala el agente independiente para habilitar Cloud Logging y Cloud Monitoring desde la plataforma de VMware vSphere. El agente independiente te permite recopilar registros a nivel de la carga de trabajo y enviarlos a Logging y Monitoring para su análisis y almacenamiento. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Crea nubes privadas en regiones que coincidan con tus requisitos de residencia de datos
| ID de control de Google | GCVE-CO-2.1 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Crea nubes privadas de Google Cloud VMware Engine en regiones que coincidan con los requisitos de residencia de datos de tu organización. Las nubes privadas son recursos aprovisionados de larga duración que no son triviales de implementar y reubicar. |
| Productos aplicables |
VMware Engine |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Implementa una estrategia de copia de seguridad y recuperación ante desastres
| ID de control de Google | GCVE-CO-5.1 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Implementar el servicio Backup and DR o una solución de copias de seguridad de terceros para las cargas de trabajo De forma predeterminada, Google Cloud VMware Engine solo realiza copias de seguridad automáticas de la configuración de vCenter y NSX. Backup and DR facilita la creación de copias de seguridad y la recuperación de VM. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Implementa la encriptación a nivel de la aplicación para las cargas de trabajo de VMware
| ID de control de Google | GCVE-CO-1.1 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Asegúrate de que las aplicaciones que se ejecutan en Google Cloud VMware Engine encripten su tráfico. VMware Engine no encripta el tráfico de cargas de trabajo en tránsito. |
| Productos aplicables |
VMware Engine |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Habilita la encriptación de datos en tránsito en clústeres de VMware vSAN
| ID de control de Google | GCVE-CO-2.3 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Habilita la encriptación de datos en tránsito en los clústeres de VMware vSAN para encriptar los datos, los metadatos y el tráfico del servicio de archivos. |
| Productos aplicables |
VMware Engine |
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Configura la encriptación de datos en reposo de vSAN para usar CMEK
| ID de control de Google | GCVE-CO-2.2 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Si tu entorno regulatorio lo requiere, configura la encriptación de datos en reposo de vSAN para que use claves de encriptación administradas por el cliente (CMEK). |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |
Rota las claves que se usan para la encriptación de datos en reposo de vSAN
| ID de control de Google | GCVE-CO-2.4 |
|---|---|
| Implementación | Obligatorio |
| Descripción | Administrar el ciclo de vida de las claves de encriptación de claves (KEK) que usas para la encriptación de datos en reposo de vSAN Implementa un procedimiento de rotación de claves que se alinee con los requisitos de tu organización. |
| Productos aplicables |
|
| Controles relacionados de NIST-800-53 |
|
| Controles relacionados del perfil de CRI |
|
| Información relacionada |