Este documento inclui as práticas recomendadas e as diretrizes para serviços do Cloud de Confiance by S3NS, como Compute Engine, Google Kubernetes Engine (GKE), Pub/Sub, Dataflow e funções do Cloud Run ao executar cargas de trabalho noCloud de Confiance by S3NS.
Controles de computação
Esses controles se aplicam aos serviços de computação.
Definir instâncias de VM que podem ativar o encaminhamento de IP
| ID de controle do Google | VPC-CO-6.3 |
|---|---|
| Implementação | Obrigatório |
| Descrição | A restrição
compute.vmCanIpForward define as instâncias de VM que podem ativar o encaminhamento de IP. Por padrão, qualquer VM pode ativar o encaminhamento de IP em qualquer rede virtual. Especifique as instâncias de VM usando um dos seguintes formatos:
|
| Produtos aplicáveis |
|
| Caminho | constraints/compute.vmCanIpForward |
| Operador | = |
| Valor |
|
| Tipo | Lista |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Desativar a virtualização aninhada da VM
| ID de controle do Google | VPC-CO-6.6 |
|---|---|
| Implementação | Obrigatório |
| Descrição | A restrição booleana
compute.disableNestedVirtualization desativa a virtualização aninhada acelerada por hardware para VMs do Compute Engine. |
| Produtos aplicáveis |
|
| Caminho | constraints/compute.disableNestedVirtualization |
| Operador | É |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Restringir endereços IP externo em VMs
| ID de controle do Google | VPC-CO-6.2 |
|---|---|
| Implementação | Obrigatório |
| Descrição | A menos que seja necessário, evite a criação de instâncias do Compute Engine com endereços IP públicos. A restrição de lista Impeça que as instâncias do Compute Engine tenham endereços IP externo para reduzir drasticamente a exposição delas à Internet. Qualquer instância com um endereço IP externo pode ser descoberta imediatamente e se torna um alvo direto para verificações automatizadas, ataques de força bruta e tentativas de exploração de vulnerabilidades. Em vez disso, exija que as instâncias usem endereços IP particulares e gerencie o acesso por caminhos controlados, autenticados e registrados, como o túnel do Identity-Aware Proxy (IAP) ou um Bastion Host. Adotar essa postura de negação por padrão é uma prática recomendada de segurança fundamental que ajuda a minimizar a superfície de ataque e impõe uma abordagem de confiança zero à sua rede. Essa restrição não é retroativa. |
| Produtos aplicáveis |
|
| Caminho | constraints/compute.vmExternalIpAccess |
| Operador | = |
| Valor |
|
| Tipo | Lista |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Definir endereços IP externo permitidos para instâncias de VM
| ID de controle do Google | CBD-CO-6.3 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Com a restrição de lista |
| Produtos aplicáveis |
|
| Caminho | compute.vmExternalIpAccess |
| Operador | = |
| Valor |
|
| Tipo | Lista |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Desativar acesso à porta serial da VM
| Implementação | Obrigatório |
|---|---|
| Descrição | Desative o acesso à porta serial definindo a restrição da política da organização Desativar o acesso à porta serial ajuda a reforçar uma postura de segurança de defesa em profundidade, forçando todo o acesso administrativo por caminhos padrão auditados, como o SSH, que pode ser protegido ativando o Identity and Access Management (IAM) e o Identity-Aware Proxy (IAP). |
| Produtos aplicáveis |
Compute Engine |
| Caminho | constraints/compute.disableSerialPortAccess |
| Operador | = |
| Valor |
|
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Exigir conector de VPC para funções do Cloud Run
| ID de controle do Google | CF-CO-4.4 |
|---|---|
| Implementação | Obrigatório |
| Descrição | A restrição booleana |
| Produtos aplicáveis |
|
| Caminho | constraints/cloudfunctions.requireVPCConnector |
| Operador | = |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Ativar recursos de VM protegida
| Implementação | Obrigatório |
|---|---|
| Descrição | Ative o módulo de plataforma confiável virtual (vTPM) e os atributos de monitoramento de integridade da VM protegida para suas instâncias. O vTPM e os atributos de monitoramento de integridade fazem parte do processo padrão de criação de instâncias de VM. Use os atributos de vTPM e monitoramento de integridade da VM protegida para garantir que as VMs sejam inicializadas apenas com código confiável e não modificado. O vTPM fornece um criptoprocessador virtual seguro que gera e armazena medições criptográficas de toda a sequência de inicialização, desde o firmware UEFI até os drivers de kernel. Em seguida, o monitoramento de integridade compara continuamente essas medições de tempo de execução com um valor de referência conhecido e válido estabelecido quando a VM foi criada. Esses recursos oferecem uma cadeia de confiança verificável e alertam você ou tomam medidas automaticamente se detectarem modificações maliciosas, como as de um bootkit ou rootkit. Os recursos de VM protegida ajudam a manter a integridade da sua carga de trabalho desde o momento em que a instância é ligada. |
| Produtos aplicáveis |
Compute Engine |
| Caminho | compute.instances/shieldedInstanceConfig.enableVtpm |
| Operador | É |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Aplicar o Login do SO para VMs
| Implementação | Obrigatório |
|---|---|
| Descrição | Se você permitir que os desenvolvedores acessem os recursos do Compute Engine usando SSH, configure o Login do SO com a verificação em duas etapas. Use o Login do SO para gerenciar chaves SSH com políticas do Identity and Access Management (IAM) definindo a restrição de política da organização Vincular as permissões SSH à identidade de um usuário é fundamental para a segurança. Isso porque a remoção da função do IAM de um usuário revoga instantaneamente o acesso dele em todas as instâncias, protegendo contra entradas não autorizadas de contas inativas. O sistema simplifica o gerenciamento de chaves para evitar a proliferação delas e oferece uma trilha de auditoria clara e centralizada para todos os eventos de login nos Registros de auditoria do Cloud. O Login do SO também permite aplicar a autenticação de dois fatores, adicionando uma camada importante de proteção contra chaves e credenciais SSH roubadas. Um invasor com tokens OAuth comprometidos, mas sem uma senha ou chave de segurança, está bloqueado por esse recurso. O acesso do Remote Desktop Protocol (RDP) a instâncias do Windows no Compute Engine não é compatível com o serviço de Login do SO. Por isso, a verificação em duas etapas não pode ser aplicada de maneira granular para sessões RDP. Ao usar o IAP para computadores ou plug-ins RDP baseados no Google Chrome, defina controles gerais, como duração da sessão para serviços do Google e configurações da verificação em duas etapas para as sessões da Web do usuário. Desative a configuração Permitir que o usuário confie no dispositivo na verificação em duas etapas. |
| Produtos aplicáveis |
Compute Engine |
| Caminho | compute.projects/commonInstanceMetadata.items |
| Operador | É |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Configurar políticas de armazenamento de mensagens
| ID de controle do Google | PS-CO-4.1 |
|---|---|
| Implementação | Opcional |
| Descrição | Se você publicar mensagens no endpoint global do Pub/Sub, o serviço vai armazenar automaticamente as mensagens na região Cloud de Confiance by S3NS mais próxima. Para controlar em que regiões as mensagens são armazenadas, configure uma política de armazenamento de mensagens no seu tópico.
Use uma das seguintes maneiras para configurar políticas de armazenamento de mensagens para tópicos:
|
| Produtos aplicáveis |
|
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Desativar endereços IP externo para jobs do Dataflow
| ID de controle do Google | DF-CO-6.1 |
|---|---|
| Implementação | Opcional |
| Descrição | Desative os endereços IP externo para tarefas administrativas e de monitoramento relacionadas a jobs do Dataflow. Em vez disso, configure o acesso às VMs de worker do Dataflow usando SSH. Ative o Acesso privado do Google e especifique uma das seguintes opções no seu job do Dataflow:
Em que:
|
| Produtos aplicáveis |
|
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Usar tags de rede para regras de firewall
| ID de controle do Google | DF-CO-6.2 |
|---|---|
| Implementação | Opcional |
| Descrição | As tags de rede são atributos de texto anexados às VMs do Compute Engine, como as VMs de worker do Dataflow. Com as tags de rede, é possível tornar regras de firewall de rede VPC e algumas rotas estáticas personalizadas aplicáveis a instâncias de VM específicas. O Dataflow é compatível com a adição de tags de rede a todas as VMs de worker que executam um job específico do Dataflow. |
| Produtos aplicáveis |
|
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Controles de contêiner
Esses controles se aplicam a contêineres no GKE.
Restringir o acesso ao plano de controle
| ID de controle do Google | GKE-CO-1.1 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Por padrão, os nós e o plano de controle do cluster do Google Kubernetes Engine (GKE) têm endereços de Internet roteáveis que podem ser acessados de qualquer endereço IP. Restrinja o acesso à rede ao plano de controle usando um endpoint baseado em DNS e criando clusters particulares. O plano de controle é o centro de gerenciamento de um cluster do Kubernetes, e expô-lo à Internet o torna um alvo principal para invasores. Essa configuração torna o plano de controle particular e o remove da Internet. Restringir o acesso ao plano de controle ajuda a garantir que apenas dispositivos de confiança na rede particular da sua organização possam gerenciar o cluster, reduzindo drasticamente o risco de um ataque externo. |
| Produtos aplicáveis |
GKE |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Usar regras de firewall de privilégio mínimo
| ID de controle do Google | GKE-CO-1.2 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Ao criar regras de firewall, use o princípio de privilégio mínimo para fornecer acesso apenas à finalidade necessária. Verifique, quando possível, se as regras de firewall não entram em conflito com as regras padrão do GKE. |
| Produtos aplicáveis |
GKE |
| Controles relacionados do NIST-800-53 |
|
| Informações relacionadas |
Usar os Grupos do Google para RBAC
| ID de controle do Google | GKE-CO-1.3 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Use os Grupos do Google para controle de acesso baseado em função (RBAC, na sigla em inglês), que também permite a integração com suas práticas de gerenciamento de contas de usuário atuais, como a revogação do acesso quando alguém sai da sua organização. Os Grupos do Google para RBAC ajudam a gerenciar o acesso ao cluster de maneira eficiente usando Identity and Access Management (IAM) e os Grupos do Google, o que é adequado para a maioria das organizações que usam os Grupos do Google. |
| Produtos aplicáveis |
Google Kubernetes Engine (GKE) |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Ativar os nós protegidos do GKE
| ID de controle do Google | GKE-CO-1.4 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Ative os nós protegidos do GKE para verificação criptográfica dos nós no cluster. Os nós protegidos do GKE oferecem integridade e identidade de nó forte e verificável. Ative os nós protegidos do GKE ao criar ou atualizar clusters. Sempre que possível, use Nós protegidos do GKE com inicialização segura para autenticar também os componentes de inicialização das VMs de nó durante o processo de inicialização. Não use a inicialização segura se você precisar de módulos de kernel não assinados de terceiros. Os nós protegidos do GKE são ativados por padrão quando você cria um cluster. |
| Produtos aplicáveis |
GKE |
| Controles relacionados do NIST-800-53 |
|
| Informações relacionadas |
Usar o Container-Optimized OS com o ambiente de execução do containerd
| ID de controle do Google | GKE-CO-1.5 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Use o Container-Optimized OS para implementar um sistema operacional de contêiner reforçado e gerenciado. Os sistemas operacionais de uso geral incluem muitos programas extras que não são necessários para executar contêineres e, portanto, criam um alvo maior e desnecessário para os invasores. O Container-Optimized OS é um sistema operacional minimalista e bloqueado que reduz significativamente essa superfície de ataque, incluindo apenas o necessário. Como um SO gerenciado, o Container-Optimized OS também tem patches de segurança aplicados automaticamente pelo Google, o que ajuda a corrigir vulnerabilidades críticas e reduz sua carga de trabalho operacional. Uma imagem que inclui o Container-Optimized OS com containerd (cos_containerd) tem o containerd como o ambiente de execução principal do contêiner diretamente integrado ao Kubernetes. O containerd é o componente principal de execução do Docker e foi projetado para oferecer funcionalidade básica de contêiner para a interface de ambiente de execução de contêineres (CRI, na sigla em inglês) do Kubernetes. Ele é significativamente menos complexo que o daemon Docker completo e, por isso, tem uma superfície de ataque menor. |
| Produtos aplicáveis |
Container-Optimized OS |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Usar a federação de identidade da carga de trabalho para GKE
| ID de controle do Google | GKE-CO-1.6 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Use a Federação de Identidade da Carga de Trabalho para GKE para autenticar com segurança as APIs do Cloud de Confiance by S3NS nas cargas de trabalho do Google Kubernetes Engine (GKE). A federação de identidade da carga de trabalho para GKE oferece uma alternativa mais simples e segura ao uso de chaves de conta de serviço. |
| Produtos aplicáveis |
GKE |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Ativar o GKE Sandbox
| ID de controle do Google | GKE-CO-1.7 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Use o GKE Sandbox para fornecer uma camada extra de segurança e evitar que códigos não confiáveis afetem o kernel do host nos nós do cluster do Google Kubernetes Engine (GKE). O GKE Sandbox aumenta o isolamento de cargas de trabalho não confiáveis ou sensíveis, fornecendo uma camada extra de proteção contra ataques de escape de contêiner. |
| Produtos aplicáveis |
GKE |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Desativar a porta somente leitura do kubelet
| ID de controle do Google | GKE-CO-1.9 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Desative a porta somente leitura do kubelet 10255 e use a porta 10250, que é mais segura. O Kubernetes não realiza nenhuma verificação de autenticação ou autorização nessa porta. O kubelet disponibiliza os mesmos endpoints na porta 10250 mais segura e autenticada. Só é possível desativar a porta somente leitura do kubelet não segura no GKE versão 1.26.4-gke.500 ou mais recente. |
| Produtos aplicáveis |
GKE |
| Controles relacionados do NIST-800-53 |
|
| Informações relacionadas |
Usar namespace e RBAC para restringir o acesso aos recursos do cluster
| ID de controle do Google | GKE-CO-1.10 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Crie namespaces ou clusters separados para cada equipe e ambiente para implementar o acesso de privilégio mínimo ao Kubernetes. Atribua centros de custo e rótulos apropriados a cada namespace para fins de responsabilização e estorno. Forneça aos desenvolvedores o nível de acesso ao namespace necessário para implantar e gerenciar o aplicativo, especialmente na produção. Mapeie as tarefas que os usuários precisam executar no cluster e defina as permissões necessárias para executar cada tarefa. Atribua os papéis apropriados do Identity and Access Management (IAM) para o Google Kubernetes Engine (GKE) a grupos e usuários para conceder permissões no nível do projeto e use o RBAC para dar permissões nos níveis de cluster e de namespace. |
| Produtos aplicáveis |
|
| Controles relacionados do NIST-800-53 |
|
| Informações relacionadas |
Restringir o tráfego entre pods
| ID de controle do Google | GKE-CO-1.11 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Por padrão, todos os pods em um cluster podem se comunicar entre si. Controle a comunicação entre pods conforme necessário para suas cargas de trabalho. Restringir o acesso de rede aos serviços dificulta muito a migração lateral dos invasores dentro de um cluster, além de dar aos serviços formas de se proteger contra negações de serviço acidentais ou deliberadas. Há duas maneiras de controlar o tráfego:
|
| Produtos aplicáveis |
GKE |
| Controles relacionados do NIST-800-53 |
|
| Informações relacionadas |
Use controladores de admissão para aplicar políticas
| ID de controle do Google | GKE-CO-1.12 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Os controladores de admissão são plug-ins que regem e impõem o modo como o cluster é usado. Ative-os para usar alguns dos recursos de segurança mais avançados do Kubernetes, porque eles são uma parte importante da abordagem de defesa em profundidade para reforço da proteção do seu cluster. Por padrão, os pods no Kubernetes podem operar com recursos além do que eles exigem. Use controles de admissão para restringir os recursos do pod apenas àqueles necessários para essa carga de trabalho. O GKE oferece suporte a vários controles para restringir a execução de pods com recursos explicitamente concedidos. Por exemplo, o Controlador de Políticas está disponível para clusters em frotas. O Kubernetes também tem o controlador de admissão do PodSecurity integrado, que permite aplicar os padrões de segurança do pod em clusters individuais. O Controlador de Políticas é um recurso do GKE que permite aplicar e validar a segurança em clusters do GKE em escala usando políticas declarativas. |
| Produtos aplicáveis |
GKE |
| Controles relacionados do NIST-800-53 |
|
| Informações relacionadas |
Restringir a capacidade de automodificação das cargas de trabalho
| ID de controle do Google | GKE-CO-1.13 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Algumas cargas de trabalho do Kubernetes, principalmente as do sistema, têm permissão para se automodificar. Por exemplo, algumas cargas de trabalho escalonam automaticamente na vertical. Embora seja conveniente, a automodificação pode permitir que um invasor que já tenha comprometido um nó escalone ainda mais no cluster. Por exemplo, um invasor pode fazer com que uma carga de trabalho do nó se automodifique para ser executada como uma conta de serviço com mais privilégios que existe no mesmo namespace. Não conceda às cargas de trabalho permissão para se modificar por padrão. Quando a automodificação for necessária, limite as permissões aplicando restrições do Gatekeeper ou do Controlador de Políticas, como NoUpdateServiceAccount da biblioteca de código aberto do Gatekeeper, que fornece várias políticas de segurança úteis. Ao implantar políticas, permita que os controladores que gerenciam o ciclo de vida do cluster ignorem as políticas. Os controladores precisam fazer mudanças no cluster, como aplicar upgrades. Por exemplo, se você implantar a política "NoUpdateServiceAccount" no GKE, defina os seguintes parâmetros na restrição: parameters: allowedGroups: - system:masters allowedUsers: - system:addon-manager |
| Produtos aplicáveis |
GKE |
| Controles relacionados do NIST-800-53 |
|
| Informações relacionadas |
Monitorar as configurações do cluster
| ID de controle do Google | GKE-CO-1.14 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Audite as configurações do cluster para desvios das configurações definidas. As configurações abordadas nessas práticas recomendadas, bem como outras configurações incorretas comuns, podem ser verificadas automaticamente usando o Security Command Center. |
| Produtos aplicáveis |
|
| Controles relacionados do NIST-800-53 |
|
| Informações relacionadas |
Aplicar a autorização binária
| ID de controle do Google | BIN-CO-1.1 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Use a autorização binária para garantir que imagens confiáveis sejam implantadas no Google Kubernetes Engine (GKE) e no Cloud Run. A autorização binária ajuda a garantir que apenas imagens de contêiner verificadas e confiáveis possam ser implantadas nos seus clusters, reforçando a segurança da cadeia de suprimentos de software. |
| Produtos aplicáveis |
|
| Caminho | constraints/binaryauthorization.requireBinauthz |
| Operador | == |
| Valor |
|
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Usar o Autopilot do GKE
| Implementação | Obrigatório |
|---|---|
| Descrição | Use clusters do Autopilot do Google Kubernetes Engine (GKE). Os clusters do Autopilot oferecem medidas de segurança robustas, com muitas práticas recomendadas de segurança para contêineres ou GKE ativadas por padrão. |
| Produtos aplicáveis |
GKE |
| Caminho | container.clusters/autopilot.enabled |
| Operador | É |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Usar contas privilégio mínimo para clusters e nós do GKE
| Implementação | Obrigatório |
|---|---|
| Descrição | Use contas de serviço do Identity and Access Management (IAM) com privilégios mínimos para clusters e nós do Google Kubernetes Engine (GKE). O acesso ao plano de controle do GKE é restrito a um único endpoint baseado em DNS. A implementação do princípio de privilégio mínimo reduz significativamente a superfície de ataque sem a necessidade de regras de firewall ou hosts bastion adicionais. |
| Produtos aplicáveis |
GKE |
| Caminho | container.clusters/nodeConfig.serviceAccount |
| Operador | != |
| Valor |
|
| Tipo | String |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Usar nós particulares do GKE
| Implementação | Obrigatório |
|---|---|
| Descrição | Crie nós particulares para reduzir a exposição à Internet. Os nós particulares do Google Kubernetes Engine (GKE) ajudam a reduzir a exposição à Internet, garantindo que os nós do GKE não tenham um endereço IP público. |
| Produtos aplicáveis |
GKE |
| Caminho | container.clusters/networkConfig.defaultEnablePrivateNodes |
| Operador | É |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Usar nós confidenciais do Google Kubernetes Engine
| Implementação | Obrigatório |
|---|---|
| Descrição | Use os nós confidenciais do GKE para aplicar a criptografia de dados em uso nos seus nós e cargas de trabalho. Os nós confidenciais do GKE ajudam a proteger cargas de trabalho altamente sensíveis criptografando dados em uso com a computação confidencial. |
| Produtos aplicáveis |
Google Kubernetes Engine (GKE) |
| Caminho | container.clusters/confidentialNodes.enabled |
| Operador | É |
| Valor |
|
| Tipo | Booleano |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Executar uma autoridade certificadora personalizada no GKE
| Implementação | Obrigatório |
|---|---|
| Descrição | Execute suas próprias autoridades certificadoras para gerenciar chaves no Google Kubernetes Engine (GKE). Usar suas próprias autoridades certificadoras oferece mais controle sobre as operações criptográficas. Para solicitar acesso a esse recurso, entre em contato com a sua equipe de conta Cloud de Confiance by S3NS . |
| Produtos aplicáveis |
GKE |
| Caminho | container.clusters/userManagedKeysConfig.clusterCa |
| Operador | Está definido |
| Tipo | String |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Criptografar secrets do Kubernetes usando o Cloud KMS
| Implementação | Obrigatório |
|---|---|
| Descrição | Criptografar secrets do Kubernetes em repouso usando chaves gerenciadas do Cloud Key Management Service (Cloud KMS). O Cloud KMS oferece uma camada extra de segurança para dados do etcd, permitindo que você criptografe secrets do Kubernetes com uma chave que você tem e gerencia. |
| Produtos aplicáveis |
|
| Caminho | container.clusters/databaseEncryption.keyName |
| Operador | Está definido |
| Tipo | String |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Usar CMEK em discos de inicialização de nós
| Implementação | Obrigatório |
|---|---|
| Descrição | Use chaves de criptografia gerenciadas pelo cliente (CMEK) para criptografia de disco de inicialização do nó. Com a CMEK, é possível criptografar o disco de inicialização de um nó do Kubernetes com uma chave que você possui e gerencia. |
| Produtos aplicáveis |
|
| Caminho | container.clusters/nodeConfig.bootDiskKmsKey |
| Operador | Está definido |
| Tipo | String |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Controles do VMware Engine
Limitar as atribuições de função de administrador para o VMware Engine
| ID de controle do Google | GCVE-CO-3.1 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Conceda papéis de administrador apenas às contas de serviço que implantam e configuram nuvens privadas do Google Cloud VMware Engine e a um número limitado de administradores. Normalmente, a adição ou exclusão manual de clusters e nós é uma ação que não acontece com frequência e pode ter um alto impacto no faturamento ou na disponibilidade do cluster. Faça auditorias regulares de quem recebeu o papel de Administrador de serviço do VMware Engine, seja diretamente no projeto usado para o VMware Engine ou em um dos níveis pais da hierarquia de recursos. Essa auditoria precisa incluir outros papéis, como os papéis básicos de Editor e Proprietário, que incluem permissões críticas relacionadas ao VMware Engine. É possível usar serviços como o recomendador de papéis do IAM para ajudar a identificar papéis com privilégios em excesso. |
| Produtos aplicáveis |
|
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Usar o papel de leitor do serviço do VMware Engine para privilégio mínimo
| ID de controle do Google | GCVE-CO-3.3 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Conceda o papel de Leitor de serviços do VMware Engine aos usuários por padrão e somente se necessário. A função de leitor do serviço do VMware Engine oferece acesso somente leitura ao Google Cloud VMware Engine em Cloud de Confiance by S3NS e foi projetada para ser suficiente para a maioria das tarefas. |
| Produtos aplicáveis |
|
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Usar o RBAC e o princípio de privilégio mínimo para papéis do vCenter Server Appliance
| ID de controle do Google | GCVE-CO-3.4 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Ao conceder papéis no nível do VMware no vCenter Server Appliance, use controles de acesso baseados em função (RBAC) e o princípio de privilégio mínimo. |
| Produtos aplicáveis |
VMware Engine |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Usar a federação de identidade para usuários do VMware
| ID de controle do Google | GCVE-CO-3.5 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Manter uma única solução de identidade em que é possível provisionar e gerenciar contas de usuário. Essa prática recomendada permite centralizar atividades como gerenciamento do ciclo de vida de identidades, gerenciamento de grupos e gerenciamento de senhas. Evite criar uma estratégia de identidade fragmentada. |
| Produtos aplicáveis |
VMware Engine |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Conceder papéis a grupos, e não a indivíduos, para o vCenter Server Appliance
| ID de controle do Google | GCVE-CO-3.6 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Ao conceder papéis no nível do VMware no vCenter Server Appliance, conceda papéis aos grupos criados no provedor de identidade. Não crie uma estratégia de identidade fragmentada. |
| Produtos aplicáveis |
VMware Engine |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Não atribua a função de proprietário do Cloud a grupos de usuários no vSphere
| ID de controle do Google | GCVE-CO-3.7 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Ao criar grupos de usuários no vSphere, não atribua a função de proprietário da nuvem. Essa função concede controle administrativo sobre o ambiente vCenter da sua nuvem privada, restringindo algumas permissões da infraestrutura global subjacente. Os grupos de usuários com permissões maiores que a função de proprietário do Cloud são automaticamente redefinidos para essa função. |
| Produtos aplicáveis |
VMware Engine |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Evite usar as contas de serviço padrão do vCenter e do NSX-T
| ID de controle do Google | GCVE-CO-3.8 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Exceto no processo de configuração inicial e em procedimentos de emergência, não use a conta de serviço padrão do vCenter (CloudOwner@gve.local) e o administrador da conta de serviço padrão do NSX-T (admin). Essas contas de serviço padrão incluem permissões avançadas, como Cloud-Proprietário-Role e Enterprise Admin. Salve as credenciais dessas contas de serviço no Secret Manager. |
| Produtos aplicáveis |
VMware Engine |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Alternar as senhas das contas de serviço padrão do vCenter e do NSX-T a cada 90 dias
| ID de controle do Google | GCVE-CO-3.9 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Para evitar e reduzir a divulgação não autorizada das credenciais da conta de serviço padrão do vCenter (CloudOwner@gve.local) e do administrador da conta de serviço padrão do NSX-T (admin), altere as senhas a cada 90 dias. |
| Produtos aplicáveis |
VMware Engine |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Use o firewall de gateway do NSX para segmentar o tráfego norte-sul
| ID de controle do Google | GCVE-CO-1.2 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Controle o tráfego de rede norte-sul que entra e sai das nuvens privadas usando o firewall de gateway do NSX. Os firewalls de gateway do NSX são firewalls norte-sul que ajudam a proteger os perímetros. |
| Produtos aplicáveis |
VMware Engine |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Usar o firewall distribuído do NSX para segmentar o tráfego leste-oeste
| ID de controle do Google | GCVE-CO-1.3 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Controle o tráfego de rede leste-oeste na nuvem privada usando o firewall distribuído (DFW) do NSX. Por padrão, todas as sub-redes podem se comunicar entre si. Use o DFW para definir o tráfego permitido entre aplicativos e serviços dentro do aplicativo. |
| Produtos aplicáveis |
VMware Engine |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Criar sub-redes separadas para cargas de trabalho com requisitos de segurança diferentes
| ID de controle do Google | GCVE-CO-1.4 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Se você executar cargas de trabalho com requisitos de segurança ou classificações de dados diferentes, crie sub-redes de carga de trabalho para separá-las. As sub-redes permitem reduzir o raio de impacto potencial ao não misturar cargas de trabalho de diferentes requisitos e posturas de segurança. |
| Produtos aplicáveis |
VMware Engine |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Criar um coletor de registros para armazenar registros de auditoria do VMware Engine
| ID de controle do Google | GCVE-CO-4.1 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Use um coletor de registros para armazenar os registros de auditoria da API Google Cloud VMware Engine. É possível encaminhar registros de auditoria para destinos diferentes, conforme necessário. |
| Produtos aplicáveis |
VMware Engine |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Coletar registros da plataforma no nível do VMware
| ID de controle do Google | GCVE-CO-4.2 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Para coletar registros da plataforma no nível do VMware (por exemplo, mensagens syslog do vCenter e do NSX-T), configure as nuvens privadas do Google Cloud VMware Engine para encaminhar registros syslog a um agregador de registros centralizado. Esses registros não são coletados nos registros de auditoria do VMware Engine e precisam ser coletados separadamente. |
| Produtos aplicáveis |
VMware Engine |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Monitorar aplicativos usando o Logging e o Monitoring
| ID de controle do Google | GCVE-CO-4.3 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Instale o agente independente para ativar o Cloud Logging e o Cloud Monitoring na plataforma VMware vSphere. Com o agente independente, é possível coletar registros no nível da carga de trabalho e enviá-los ao Logging e ao Monitoring para análise e armazenamento. |
| Produtos aplicáveis |
|
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Crie nuvens privadas em regiões que atendam aos seus requisitos de residência de dados
| ID de controle do Google | GCVE-CO-2.1 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Crie nuvens privadas do Google Cloud VMware Engine em regiões que atendam aos requisitos de residência de dados da sua organização. As nuvens privadas são recursos provisionados de longa duração que não são triviais de implantar e realocar. |
| Produtos aplicáveis |
VMware Engine |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Implementar uma estratégia de backup e recuperação de desastres
| ID de controle do Google | GCVE-CO-5.1 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Implemente o serviço de backup e DR ou uma solução de backup de terceiros para cargas de trabalho. Por padrão, o Google Cloud VMware Engine faz backup automático apenas da configuração do vCenter e do NSX. O Backup e DR facilita o backup e a recuperação de VMs. |
| Produtos aplicáveis |
|
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Implementar a criptografia no nível do aplicativo para cargas de trabalho do VMware
| ID de controle do Google | GCVE-CO-1.1 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Verifique se os aplicativos executados no Google Cloud VMware Engine criptografam o tráfego. O VMware Engine não criptografa o tráfego de carga de trabalho em trânsito. |
| Produtos aplicáveis |
VMware Engine |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Ativar a criptografia de dados em trânsito em clusters do VMware vSAN
| ID de controle do Google | GCVE-CO-2.3 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Ative a criptografia de dados em trânsito nos clusters vSAN do VMware para criptografar dados, metadados e tráfego de serviços de arquivos. |
| Produtos aplicáveis |
VMware Engine |
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Configurar a criptografia de dados em repouso do vSAN para usar a CMEK
| ID de controle do Google | GCVE-CO-2.2 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Se exigido pelo seu ambiente regulatório, configure a criptografia de dados em repouso do vSAN para usar chaves de criptografia gerenciadas pelo cliente (CMEKs). |
| Produtos aplicáveis |
|
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
Girar as chaves usadas para criptografia de dados em repouso do vSAN
| ID de controle do Google | GCVE-CO-2.4 |
|---|---|
| Implementação | Obrigatório |
| Descrição | Gerencie o ciclo de vida das chaves de criptografia de chaves (KEKs) usadas para criptografia de dados em repouso do vSan. Implemente um procedimento de rotação de chaves que esteja alinhado aos requisitos da sua organização. |
| Produtos aplicáveis |
|
| Controles relacionados do NIST-800-53 |
|
| Controles relacionados ao perfil da CRI |
|
| Informações relacionadas |
A seguir
Consulte os controles de gerenciamento de dados.
Confira mais práticas recomendadas e diretrizes de segurança doCloud de Confiance by S3NS .