基础设施控制

本文档包含在Cloud de Confiance by S3NS上运行工作负载时,有关 Compute Engine、Google Kubernetes Engine (GKE)、Pub/Sub、Dataflow 和 Cloud Run 函数等 Cloud de Confiance by S3NS服务的最佳实践和指南。

计算控件

这些控制措施适用于计算服务。

定义可启用 IP 转发的虚拟机实例

Google 控制 ID VPC-CO-6.3
实现 必需
说明
compute.vmCanIpForward 限制条件定义了可启用 IP 转发的虚拟机实例。默认情况下,任何虚拟机都可以在任何虚拟网络中启用 IP 转发。使用以下某种格式指定虚拟机实例:
  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/zones/ZONE/instances/INSTANCE_NAME
  • 此限制条件不具有追溯性。
适用的产品
  • 组织政策服务
  • Virtual Private Cloud (VPC)
  • Compute Engine
路径 constraints/compute.vmCanIpForward
运算符 =

Your list of VM instances that can enable IP forwarding.

类型 列表
相关 NIST-800-53 控制措施
  • SC-7
  • SC-8
相关 CRI 配置文件控制措施
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相关信息

停用虚拟机嵌套虚拟化

Google 控制 ID VPC-CO-6.6
实现 必需
说明
compute.disableNestedVirtualization 布尔值限制条件会针对 Compute Engine 虚拟机停用硬件加速的嵌套虚拟化功能。
适用的产品
  • 组织政策服务
  • Virtual Private Cloud (VPC)
  • Compute Engine
路径 constraints/compute.disableNestedVirtualization
运算符

True

类型 布尔值
相关 NIST-800-53 控制措施
  • SC-7
  • SC-8
相关 CRI 配置文件控制措施
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相关信息

限制虚拟机上的外部 IP 地址

Google 控制 ID VPC-CO-6.2
实现 必需
说明

除非需要,否则请阻止创建具有公共 IP 地址的 Compute Engine 实例。compute.vmExternalIpAccess 列表限制条件定义了一组可以具有外部 IP 地址的 Compute Engine 虚拟机实例。

防止 Compute Engine 实例拥有外部 IP 地址,以大幅减少其在互联网上的曝光度。任何具有外部 IP 地址的实例都会立即被发现,并成为自动化扫描、暴力攻击和漏洞利用尝试的直接目标。请改为要求实例使用专用 IP 地址,并通过受控、经过身份验证且已记录的途径(例如 Identity-Aware Proxy (IAP) 隧道或堡垒主机)管理访问权限。

采用这种默认拒绝的姿态是一项基础的安全最佳实践,有助于最大限度地减少攻击面,并对您的网络强制实施零信任方法。此限制条件不具有追溯性。

适用的产品
  • 组织政策服务
  • Virtual Private Cloud (VPC)
  • Compute Engine
路径 constraints/compute.vmExternalIpAccess
运算符 =

The list of VM instances in your organization that can have external IP addresses.

类型 列表
相关 NIST-800-53 控制措施
  • SC-7
  • SC-8
相关 CRI 配置文件控制措施
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相关信息

为虚拟机实例定义许可的外部 IP 地址

Google 控制 ID CBD-CO-6.3
实现 必需
说明

借助 compute.vmExternalIpAccess 列表限制条件,您可以通过不分配外部 IP 地址来限制对虚拟机的外部访问。配置此列表限制条件,以拒绝所有虚拟机的外部 IP 地址。

适用的产品
  • 组织政策服务
  • Compute Engine
路径 compute.vmExternalIpAccess
运算符 =

Deny All

类型 列表
相关 NIST-800-53 控制
  • AC-3
  • AC-12
  • AC-17
  • AC-20
相关 CRI 配置文件控制措施
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
相关信息

禁止访问虚拟机串行端口

实现 必需
说明

通过设置 compute.disableSerialPortAccess 组织政策限制条件来关闭串行端口访问权限。停用 Compute Engine 虚拟机上的串行端口访问权限,以帮助消除绕过防火墙规则和其他网络安全控制措施的访问渠道。交互式串行控制台主要用于紧急问题排查,但如果您让它保持启用状态,则可能会创建可供攻击者利用的持久后门。

停用串行端口访问权限有助于通过强制所有管理员权限通过标准、经过审核的途径(例如 SSH)来实施纵深防御安全态势,您可以通过启用 Identity and Access Management (IAM) 和 Identity-Aware Proxy (IAP) 来保护这些途径。

适用的产品

Compute Engine

路径 constraints/compute.disableSerialPortAccess
运算符 =

True

相关 NIST-800-53 控制措施
  • AC-3
相关 CRI 配置文件控制
  • PR.AC-3.1
相关信息

要求使用适用于 Cloud Run functions 的 VPC 连接器

Google 控制 ID CF-CO-4.4
实现 必需
说明

cloudfunctions.requireVPCConnector 布尔值限制条件要求管理员在部署 Cloud Run 函数时指定无服务器 VPC 访问通道连接器。如果强制执行此限制条件,函数必须指定连接器。

适用的产品
  • 组织政策服务
  • Cloud Run functions
路径 constraints/cloudfunctions.requireVPCConnector
运算符 =

True

类型 布尔值
相关 NIST-800-53 控制措施
  • SC-7
  • SC-8
相关 CRI 配置文件控制措施
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相关信息

启用安全强化型虚拟机功能

实现 必需
说明

为您的实例开启安全强化型虚拟机的虚拟可信平台模块 (vTPM) 和完整性监控属性。vTPM 和完整性监控属性是默认虚拟机实例创建过程的一部分。使用安全强化型虚拟机的 vTPM 和完整性监控属性,有助于确保虚拟机仅使用可信的未修改代码启动。

vTPM 提供了一个安全的虚拟加密处理器,用于生成和存储从 UEFI 固件到内核驱动程序的整个启动序列的加密测量结果。然后,完整性监控会持续将这些运行时测量结果与首次创建虚拟机时建立的已知良好基准进行比较。

这些功能可提供可验证的信任链,并在检测到任何恶意修改(例如来自启动工具包或 rootkit 的修改)时自动提醒您或采取相应措施。安全强化型虚拟机功能有助于从实例启动的那一刻起就保持工作负载的完整性。

适用的产品

Compute Engine

路径 compute.instances/shieldedInstanceConfig.enableVtpm
运算符

True

类型 布尔值
相关 NIST-800-53 控制措施
  • SI-7
相关 CRI 配置文件控制
  • PR.DS-6.1
相关信息

为虚拟机强制启用 OS Login

实现 必需
说明

如果您允许开发者使用 SSH 访问 Compute Engine 资源,请配置 OS Login 及两步验证。通过设置 compute.requireOsLogin 组织政策限制条件,使用 OS Login 通过 Identity and Access Management (IAM) 政策管理 SSH 密钥。OS Login 通过将 SSH 权限与用户的 Google 身份和 IAM 角色相关联,集中管理虚拟机访问权限,从而无需在每台机器上管理单独的 SSH 密钥。

将 SSH 权限与用户身份相关联对于安全性至关重要,因为移除用户的 IAM 角色会立即撤消其对所有实例的访问权限,从而防范陈旧账号的未经授权的访问。该系统可简化密钥管理,有助于防止密钥蔓延,并可在 Cloud Audit Logs 中提供清晰集中的所有登录事件审计跟踪记录。OS Login 还允许您强制执行双重身份验证,从而增加一层重要的保护,以防范 SSH 密钥和凭据被盗。此功能可以能阻止只有被破解的 OAuth 令牌但没有任何密码或安全密钥的攻击者。

使用远程桌面协议 (RDP) 访问 Compute Engine 上的 Windows 实例不支持 OS Login 服务,因此无法对 RDP 会话精细执行两步验证。使用 IAP 桌面或基于 Google Chrome 的 RDP 插件时,请为用户的 Web 会话设置粗粒度控制机制(例如 Google 服务的会话时长和两步验证设置),并在两步验证下停用允许用户信任设备设置。

适用的产品

Compute Engine

路径 compute.projects/commonInstanceMetadata.items
运算符

enable-oslogin=TRUE

类型 布尔值
相关 NIST-800-53 控制措施
  • AC-2
相关 CRI 配置文件控制
  • PR.AC-1.1
相关信息

配置消息存储政策

Google 控制 ID PS-CO-4.1
实现 可选
说明
如果您将消息发布到全局 Pub/Sub 端点,Pub/Sub 会自动将消息存储在最近的 Cloud de Confiance by S3NS 区域中。如需控制将消息存储在哪些区域,请针对主题配置消息存储政策。 您可以使用以下任一方式为主题配置消息存储政策:
  • 使用资源位置限制 (gcp.resourceLocations) 组织政策限制条件设置消息存储政策。
  • 在创建主题时配置消息存储政策。例如:

    gcloud pubsub topics create TOPIC_ID \--message-storage-policy-allowed-regions=REGION1, REGION2

适用的产品
  • 组织政策服务
  • Pub/Sub
相关 NIST-800-53 控制措施
  • AC-3
  • AC-17
  • AC-20
相关 CRI 配置文件控制措施
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相关信息

为 Dataflow 作业关闭外部 IP 地址

Google 控制 ID DF-CO-6.1
实现 可选
说明

关闭外部 IP 地址,以执行与 Dataflow 作业相关的管理和监控任务。请改用 SSH 配置对 Dataflow 工作器虚拟机的访问权限。

启用专用 Google 访问通道,并在 Dataflow 作业中指定以下选项之一:

  • --usePublicIps=false--network=NETWORK-NAME之间
  • --subnetwork=SUBNETWORK-NAME

其中:

  • NETWORK-NAME:您的 Compute Engine 网络的名称。
  • SUBNETWORK-NAME:您的 Compute Engine 子网的名称。
适用的产品
  • Compute Engine
  • Dataflow
相关 NIST-800-53 控制
  • SC-7
  • SC-8
相关 CRI 配置文件控制措施
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相关信息

为防火墙规则使用网络标记

Google 控制 ID DF-CO-6.2
实现 可选
说明

网络标记是附加到 Compute Engine 虚拟机(例如 Dataflow 工作器虚拟机)的文本属性。借助网络标记,您可以将 VPC 网络防火墙规则和某些自定义静态路由应用于特定虚拟机实例。Dataflow 支持将网络标记添加到运行特定 Dataflow 作业的所有工作器虚拟机。

适用的产品
  • Compute Engine
  • Dataflow
相关 NIST-800-53 控制
  • SC-7
  • SC-8
相关 CRI 配置文件控制措施
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相关信息

容器控制

这些控制措施适用于 GKE 中的容器。

限制控制平面访问权限

Google 控制 ID GKE-CO-1.1
实现 必需
说明

默认情况下,Google Kubernetes Engine (GKE) 集群控制平面和节点具有可以通过互联网路由的地址,这些地址可以从任何 IP 地址进行访问。通过使用基于 DNS 的端点和创建专用集群来限制对控制平面的网络访问。控制平面是 Kubernetes 集群的管理中心,将其暴露给互联网会使其成为攻击者的主要目标。此配置可将控制平面设为专用,并将其从互联网中移除。

限制控制平面访问权限有助于确保只有组织专用网络中的可信设备才能管理集群,从而大幅降低外部攻击的风险。

适用的产品

GKE

相关 NIST-800-53 控制措施
  • SC-7
相关 CRI 配置文件控制
  • PR.AC-3.1
相关信息

使用最小权限防火墙规则

Google 控制 ID GKE-CO-1.2
实现 必需
说明

创建防火墙规则时,请遵循最小权限原则以仅针对必需的目的提供访问权限。尽量确保防火墙规则不会与 GKE 默认防火墙规则冲突。

适用的产品

GKE

相关 NIST-800-53 控制措施
  • AC-3
  • AC-4
  • AC-17
  • SC-7
相关信息

使用 Google RBAC 群组

Google 控制 ID GKE-CO-1.3
实现 必需
说明

使用 Google 群组进行基于角色的访问权限控制 (RBAC),您还可以集成现有的用户账号管理做法,例如,您可以撤消已离开组织的人员的访问权限。Google RBAC 群组可帮助您使用 Identity and Access Management (IAM) 和 Google 群组高效管理集群访问权限,非常适合使用 Google 群组的大多数组织。

适用的产品

Google Kubernetes Engine (GKE)

相关 NIST-800-53 控制措施
  • AC-2
相关 CRI 配置文件控制
  • PR.AC-1.1
相关信息

启用安全强化型 GKE 节点

Google 控制 ID GKE-CO-1.4
实现 必需
说明

启用安全强化型 GKE 节点,以便对集群中的节点进行加密验证。安全强化型 GKE 节点提供强大、可验证的节点身份和完整性。在创建或更新集群时启用安全强化型 GKE 节点。如果可能,请使用安全强化型 GKE 节点并启用安全启动,以便在启动过程中对节点虚拟机的启动组件进行身份验证。如果您需要未签名的第三方内核模块,请勿使用安全启动。

创建集群时,安全强化型 GKE 节点默认处于启用状态。

适用的产品

GKE

相关 NIST-800-53 控制措施
  • AC-3
  • AC-4
  • AC-17
  • SC-7
相关信息

使用包含 containerd 运行时的 Container-Optimized OS

Google 控制 ID GKE-CO-1.5
实现 必需
说明

使用 Container-Optimized OS 实现安全强化型受管容器操作系统。通用操作系统包含许多运行容器不需要的额外程序,因此会为攻击者提供更大的不必要的目标。Container-Optimized OS 是一种极简的锁定操作系统,仅包含必要的组件,可显著缩小此攻击面。作为一种受管理的操作系统,Container-Optimized OS 还具有由 Google 自动应用的安全补丁,这有助于确保关键漏洞得到修复并减少您的运营工作负载。

包含 Container-Optimized OS with containerd (cos_containerd) 的映像将 containerd 作为与 Kubernetes 直接集成的主容器运行时。containerd 是 Docker 的核心运行时组件,旨在为 Kubernetes 容器运行时接口 (CRI) 提供核心容器功能。由于其复杂程度远远低于完整的 Docker 守护程序,因此它具有较小的攻击面。

适用的产品

Container-Optimized OS

相关 NIST-800-53 控制措施
  • CM-7
  • SC-7
  • SC-38
  • SI-2
  • SI-7
相关 CRI 配置文件控制
  • PR.PT-3.1
相关信息

使用 Workload Identity Federation for GKE

Google 控制 ID GKE-CO-1.6
实现 必需
说明

使用 Workload Identity Federation for GKE 从 Google Kubernetes Engine (GKE) 工作负载安全地向 Cloud de Confiance by S3NS API 进行身份验证。Workload Identity Federation for GKE 提供了一种比使用服务账号密钥更简单、更安全的替代方案。

适用的产品

GKE

相关 NIST-800-53 控制措施
  • IA-2
相关 CRI 配置文件控制
  • PR.AC-1.1
相关信息

启用 GKE Sandbox

Google 控制 ID GKE-CO-1.7
实现 必需
说明

使用 GKE Sandbox 增加一层额外的安全保障,以帮助防止不可信代码影响 Google Kubernetes Engine (GKE) 集群节点上的主机内核。GKE Sandbox 可增强不受信任或敏感工作负载的工作负载隔离,从而提供额外的保护层来防范容器逃逸攻击。

适用的产品

GKE

相关 NIST-800-53 控制措施
  • SC-39
相关 CRI 配置文件控制
  • PR.DS-1.1
相关信息

停用 kubelet 只读端口

Google 控制 ID GKE-CO-1.9
实现 必需
说明

停用 kubelet 只读端口 10255,并改用更安全的端口 10250。Kubernetes 不会对此端口执行任何身份验证或授权检查。kubelet 会在经过身份验证的更安全端口 10250 上提供相同的端点。

您只能在 GKE 1.26.4-gke.500 版或更高版本中停用不安全的 kubelet 只读端口。

适用的产品

GKE

相关 NIST-800-53 控制措施
  • AC-3
  • SC-7
相关信息

使用命名空间和 RBAC 限制对集群资源的访问

Google 控制 ID GKE-CO-1.10
实现 必需
说明

为每个团队和环境创建单独的命名空间或集群,以实现对 Kubernetes 的最低访问权限。为每个命名空间分配成本中心和适当的标签,以实现责任的明晰化和退款。仅为开发者提供部署和管理应用(特别是在生产环境中)所需的对其命名空间的访问权限级别。制定用户需要对集群执行的任务,并定义他们执行每项任务所需的权限。

针对 Google Kubernetes Engine (GKE) 向群组和用户分配适当的 Identity and Access Management (IAM) 角色以提供项目级别权限,并使用 RBAC 在集群和命名空间级别授予权限。

适用的产品
  • GKE
  • IAM
相关 NIST-800-53 控制措施
  • AC-3
  • AC-4
  • AC-6
相关信息

限制 pod 之间的流量

Google 控制 ID GKE-CO-1.11
实现 必需
说明

默认情况下,集群中的所有 pod 都可以相互通信。根据工作负载的需要控制 Pod 之间的通信。限制网络对服务的访问权限可以大大增加攻击者在集群中横向移动的难度,还可以保护服务免遭意外的或故意的拒绝服务攻击。

您可以通过以下两种方式来控制流量:

  • 使用 Cloud Service Mesh 或 Istio 进行负载均衡、服务授权、节流、配额、指标等。
  • 使用 Kubernetes 网络政策。如果您需要 Kubernetes 所提供的基本访问权限控制功能,请选择此选项。
适用的产品

GKE

相关 NIST-800-53 控制措施
  • AC-3
  • AC-4
  • SC-7
相关信息

使用准入控制器强制执行政策

Google 控制 ID GKE-CO-1.12
实现 必需
说明

准入控制器是负责管理和实施集群使用方式的插件。您必须启用它们才能使用 Kubernetes 的一些更高级的安全功能;它们是强化集群的深度防御方法的重要组成部分。默认情况下,Kubernetes 中的 pod 可以使用必需功能之外的功能。使用准入控制将 Pod 的功能限制在工作负载必需的范围内。

GKE 支持众多控制机制,用于限制 Pod,使其仅使用明确授予的功能来执行任务。例如,Policy Controller 适用于舰队中的集群。Kubernetes 还具有内置的 PodSecurity 准入控制器,该控制器让您可在单个集群中强制执行 Pod 安全标准。Policy Controller 是 GKE 的一项功能,可让您使用声明式政策大规模在 GKE 集群上强制执行和验证安全性。

适用的产品

GKE

相关 NIST-800-53 控制措施
  • CM-2
  • CM-3
  • CM-6
  • CM-7
相关信息

限制工作负载自行修改的能力

Google 控制 ID GKE-CO-1.13
实现 必需
说明

某些 Kubernetes 工作负载(尤其是系统工作负载)有权执行自行修改。例如,某些工作负载会自行纵向自动扩缩。虽然很方便,但自行修改会使得已入侵节点的攻击者能够在集群中执行进一步的操作。例如,攻击者可能会使节点上的工作负载自行更改,以将其作为在同一命名空间内具有更高权限的服务账号运行。

默认情况下,不向工作负载授予自行修改的权限。如果确实需要自行修改,您可以通过应用 Gatekeeper 或 Policy Controller 限制条件来限制这些权限,例如可以使用 Gatekeeper 开源库中提供的 NoUpdateServiceAccount,此外该库还提供了许多其他有用的安全政策。

部署政策时,允许管理集群生命周期的控制器绕过政策。控制器必须更改集群,例如应用集群升级。例如,如果您在 GKE 上部署 NoUpdateServiceAccount 政策,则必须在限制中设置以下参数:

parameters: allowedGroups: - system:masters allowedUsers: - system:addon-manager
适用的产品

GKE

相关 NIST-800-53 控制措施
  • AC-3
  • CM-3
  • SI-7
相关信息

监控集群配置

Google 控制 ID GKE-CO-1.14
实现 必需
说明

审核集群配置与您定义的设置之间是否存在差异。您可以使用 Security Command Center 自动检查这些最佳实践中介绍的设置以及其他常见的错误配置。

适用的产品
  • GKE
  • Security Command Center
相关 NIST-800-53 控制
  • SI-4
  • SI-5
  • RA-5
相关信息

强制执行 Binary Authorization

Google 控制 ID BIN-CO-1.1
实现 必需
说明

使用 Binary Authorization 确保可信映像部署到 Google Kubernetes Engine (GKE) 和 Cloud Run。Binary Authorization 有助于确保仅在集群中部署经过验证且可信的容器映像,从而增强软件供应链安全性。

适用的产品
  • GKE
  • Binary Authorization
  • Cloud Run
路径 constraints/binaryauthorization.requireBinauthz
运算符 ==

True

相关 NIST-800-53 控制措施
  • SI-7
相关 CRI 配置文件控制
  • PR.DS-6.1
相关信息

使用 GKE Autopilot

实现 必需
说明

使用 Google Kubernetes Engine (GKE) Autopilot 集群。Autopilot 集群提供强大的安全措施,默认启用许多容器或 GKE 安全最佳实践。

适用的产品

GKE

路径 container.clusters/autopilot.enabled
运算符

True

类型 布尔值
相关 NIST-800-53 控制措施
  • CM-2
相关 CRI 配置文件控制
  • PR.IP-1.1
相关信息

为 GKE 集群和节点使用最小权限账号

实现 必需
说明

为 Google Kubernetes Engine (GKE) 集群和节点使用最小权限 Identity and Access Management (IAM) 服务账号。对 GKE 控制平面的访问权限仅限于单个基于 DNS 的端点。实施最小权限原则可显著缩小攻击面,而无需额外的防火墙规则或堡垒主机。

适用的产品

GKE

路径 container.clusters/nodeConfig.serviceAccount
运算符 !=

default

类型 字符串
相关 NIST-800-53 控制措施
  • AC-6
相关 CRI 配置文件控制
  • PR.AC-4.1
相关信息

使用专用 GKE 节点

实现 必需
说明

创建专用节点以减少互联网暴露。专用 Google Kubernetes Engine (GKE) 节点可确保 GKE 节点没有公共 IP 地址,从而有助于减少互联网暴露面。

适用的产品

GKE

路径 container.clusters/networkConfig.defaultEnablePrivateNodes
运算符

True

类型 布尔值
相关 NIST-800-53 控制措施
  • SC-7
相关 CRI 配置文件控制
  • PR.AC-3.1
相关信息

使用机密 Google Kubernetes Engine 节点

实现 必需
说明

使用机密 GKE 节点强制加密节点和工作负载中使用的数据。机密 GKE 节点通过机密计算加密使用中的数据,有助于保护高度敏感的工作负载。

适用的产品

Google Kubernetes Engine (GKE)

路径 container.clusters/confidentialNodes.enabled
运算符

True

类型 布尔值
相关 NIST-800-53 控制措施
  • SC-28
相关 CRI 配置文件控制措施
  • PR.DS-1.1
相关信息

在 GKE 中运行自定义证书授权机构

实现 必需
说明

运行您自己的证书授权机构,以管理 Google Kubernetes Engine (GKE) 中的密钥。使用您自己的证书授权机构可更好地控制加密操作。如要申请使用此功能,请与您的 Cloud de Confiance by S3NS 客户支持团队联系。

适用的产品

GKE

路径 container.clusters/userManagedKeysConfig.clusterCa
运算符 已设置
类型 字符串
相关 NIST-800-53 控制措施
  • SC-12
相关 CRI 配置文件控制
  • PR.DS-1.1
相关信息

使用 Cloud KMS 加密 Kubernetes Secret

实现 必需
说明

使用 Cloud Key Management Service (Cloud KMS) 管理的密钥加密静态 Kubernetes Secret。Cloud KMS 可让您使用自己所拥有和管理的密钥对 Kubernetes Secret 进行加密,从而为 etcd 数据提供额外的安全防护。

适用的产品
  • GKE
  • Cloud KMS
路径 container.clusters/databaseEncryption.keyName
运算符 已设置
类型 字符串
相关 NIST-800-53 控制措施
  • SC-28
相关 CRI 配置文件控制措施
  • PR.DS-1.1
相关信息

将 CMEK 用于节点启动磁盘

实现 必需
说明

使用客户管理的加密密钥 (CMEK) 加密节点启动磁盘。借助 CMEK,您可以使用自己拥有和管理的密钥加密 Kubernetes 节点的启动磁盘。

适用的产品
  • Cloud Key Management Service
  • GKE
路径 container.clusters/nodeConfig.bootDiskKmsKey
运算符 已设置
类型 字符串
相关 NIST-800-53 控制措施
  • SC-28
相关 CRI 配置文件控制措施
  • PR.DS-1.1
相关信息

VMware Engine 控制

限制 VMware Engine 的管理员角色分配

Google 控制 ID GCVE-CO-3.1
实现 必需
说明

仅向部署和配置 Google Cloud VMware Engine 私有云的服务账号以及少数管理员授予管理员角色。通常,手动添加或删除集群和节点的操作不会频繁发生,这些操作可能会对集群的结算或可用性产生重大影响。

请务必定期审核分配有 VMware Engine Service Admin 角色的人员(无论该角色是直接在用于 VMware Engine 的项目上分配的,还是在资源层次结构中的父级级层分配的)。此审核应包含其他角色,例如包含 VMware Engine 的相关关键权限的基本 Editor 和 Owner 角色。您可以使用 IAM Roles Recommender 等服务来帮助识别特权过高的角色。

适用的产品
  • VMware Engine
  • IAM
相关 NIST-800-53 控制措施
  • AC-2
  • AC-3
  • AC-6
相关 CRI 配置文件控制
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
相关信息

使用 VMware Engine Service Viewer 角色实现最小权限

Google 控制 ID GCVE-CO-3.3
实现 必需
说明

默认情况下,仅在必要时向用户授予 VMware Engine Service Viewer 角色。VMware Engine Service Viewer 角色提供对 Google Cloud VMware Engine 的只读访问权限 Cloud de Confiance by S3NS ,并且足以满足大多数任务的需求。

适用的产品
  • VMware Engine
  • IAM
相关 NIST-800-53 控制措施
  • AC-2
  • AC-3
  • AC-6
相关 CRI 配置文件控制
  • PR.AC-4.1
  • PR.AC-4.3
  • PR.AC-6.1
相关信息

为 vCenter 服务器设备角色使用 RBAC 和最小权限

Google 控制 ID GCVE-CO-3.4
实现 必需
说明

在 vCenter Server Appliance 中授予 VMware 级角色时,请使用基于角色的访问控制 (RBAC) 和最小权限原则。

适用的产品

VMware Engine

相关 NIST-800-53 控制措施
  • AC-2
  • AC-3
  • AC-6
相关 CRI 配置文件控制
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
相关信息

为 VMware 用户使用身份联合

Google 控制 ID GCVE-CO-3.5
实现 必需
说明

维护单一身份解决方案,以便您配置和管理用户账号。通过这种推荐的做法,您可以集中管理身份生命周期、群组和密码等。避免制定支离破碎的身份策略。

适用的产品

VMware Engine

相关 NIST-800-53 控制措施
  • AC-2
  • AC-3
相关 CRI 配置文件控制
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
相关信息

向群组(而不是个人)授予 vCenter Server Appliance 的角色

Google 控制 ID GCVE-CO-3.6
实现 必需
说明

在 vCenter Server Appliance 中授予 VMware 级角色时,请向您在身份提供商中创建的群组授予角色。请勿制定支离破碎的身份策略。

适用的产品

VMware Engine

相关 NIST-800-53 控制措施
  • AC-2
  • AC-3
  • AC-6
相关 CRI 配置文件控制
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-6.1
相关信息

请勿在 vSphere 中向用户群组分配 Cloud-Owner-Role

Google 控制 ID GCVE-CO-3.7
实现 必需
说明

在 vSphere 中创建用户群组时,请勿分配 Cloud-Owner-Role。此角色授予对私有云的 vCenter 环境的管理控制权,同时限制某些底层全局基础架构权限。权限高于 Cloud-Owner-Role 的用户组会自动重置为 Cloud-Owner-Role。

适用的产品

VMware Engine

相关 NIST-800-53 控制措施
  • AC-2
  • AC-3
  • AC-6
相关 CRI 配置文件控制
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
相关信息

避免使用默认的 vCenter 和 NSX-T 服务账号

Google 控制 ID GCVE-CO-3.8
实现 必需
说明

除了初始配置过程和紧急程序之外,请勿使用默认 vCenter 服务账号 (CloudOwner@gve.local) 和默认 NSX-T 服务账号管理员 (admin)。这些默认服务账号包含 Cloud-Owner-Role 和 Enterprise Admin 等强大的权限。将这些服务账号的凭据保存在 Secret Manager 中。

适用的产品

VMware Engine

相关 NIST-800-53 控制措施
  • AC-2
  • IA-2
  • SC-28
相关 CRI 配置文件控制
  • PR.AC-1.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
相关信息

每 90 天轮替一次默认 vCenter 和 NSX-T 服务账号的密码

Google 控制 ID GCVE-CO-3.9
实现 必需
说明

为防止和缓解默认 vCenter 服务账号 (CloudOwner@gve.local) 和默认 NSX-T 服务账号管理员 (admin) 的凭据在未经授权的情况下泄露,请每 90 天轮替一次其密码。

适用的产品

VMware Engine

相关 NIST-800-53 控制措施
  • AC-2
相关 CRI 配置文件控制
  • PR.AC-1.2
相关信息

使用 NSX 网关防火墙来细分南北向流量

Google 控制 ID GCVE-CO-1.2
实现 必需
说明

使用 NSX 网关防火墙控制进出私有云的南北向网络流量。NSX 网关防火墙是南北向防火墙,可帮助保护边界。

适用的产品

VMware Engine

相关 NIST-800-53 控制措施
  • AC-4
  • SC-7
相关 CRI 配置文件控制
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.PT-4.1
相关信息

使用 NSX 分布式防火墙来细分东西向流量

Google 控制 ID GCVE-CO-1.3
实现 必需
说明

使用 NSX 分布式防火墙 (DFW) 控制私有云内的东西向网络流量。默认情况下,所有子网都可以相互通信。使用 DFW 定义应用内部应用和服务之间允许的流量。

适用的产品

VMware Engine

相关 NIST-800-53 控制措施
  • AC-4
  • SC-7
相关 CRI 配置文件控制
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.PT-4.1
相关信息

为具有不同安全要求的工作负载创建单独的子网

Google 控制 ID GCVE-CO-1.4
实现 必需
说明

如果您运行的工作负载具有不同的安全要求或数据分类,请创建工作负载子网以将它们分开。子网可让您避免混用具有不同安全要求和姿态的工作负载,从而减小潜在的影响范围。

适用的产品

VMware Engine

相关 NIST-800-53 控制措施
  • AC-4
  • AC-20
  • SC-7
相关 CRI 配置文件控制
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.PT-4.1
相关信息

创建日志接收器以存储 VMware Engine 审核日志

Google 控制 ID GCVE-CO-4.1
实现 必需
说明

使用日志接收器存储 Google Cloud VMware Engine API 审核日志。您可以根据需要将审核日志路由到不同的目标位置。

适用的产品

VMware Engine

相关 NIST-800-53 控制措施
  • AU-2
  • AU-3
  • AU-6
  • AU-7
相关 CRI 配置文件控制
  • PR.IP-1.4
  • DM.ED-7.1
相关信息

收集 VMware 级平台日志

Google 控制 ID GCVE-CO-4.2
实现 必需
说明

如需收集 VMware 级平台日志(例如 vCenter 和 NSX-T syslog 消息),请将 Google Cloud VMware Engine 私有云配置为将 syslog 日志转发到集中式日志聚合器。这些日志不会收集到 VMware Engine 审核日志中,必须单独收集。

适用的产品

VMware Engine

相关 NIST-800-53 控制措施
  • AU-2
  • AU-3
  • AU-6
  • AU-7
相关 CRI 配置文件控制
  • PR.IP-1.4
  • DM.ED-7.1
相关信息

使用 Logging 和 Monitoring 监控应用

Google 控制 ID GCVE-CO-4.3
实现 必需
说明

安装独立代理,以便从 VMware vSphere 平台启用 Cloud Logging 和 Cloud Monitoring。借助独立代理,您可以收集工作负载级日志,并将其发送到 Logging 和 Monitoring 以进行分析和存储。

适用的产品
  • VMware Engine
  • 日志记录
  • Cloud Monitoring
相关 NIST-800-53 控制措施
  • AU-2
  • AU-3
  • AU-6
  • AU-7
相关 CRI 配置文件控制
  • PR.IP-1.4
  • DM.ED-7.1
相关信息

在符合数据驻留要求的区域中创建私有云

Google 控制 ID GCVE-CO-2.1
实现 必需
说明

在符合组织数据留存要求的区域中创建 Google Cloud VMware Engine 私有云。私有云是长期存在的已配置资源,部署和迁移起来并不简单。

适用的产品

VMware Engine

相关 NIST-800-53 控制措施
  • CP-2
  • SC-7
  • SC-32
相关 CRI 配置文件控制
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相关信息

实施备份和灾难恢复策略

Google 控制 ID GCVE-CO-5.1
实现 必需
说明

为工作负载实现 Backup and DR Service 或第三方备份解决方案。默认情况下,Google Cloud VMware Engine 仅会自动备份 vCenter 和 NSX 配置。Backup and DR 可让虚拟机备份和恢复变得更轻松。

适用的产品
  • VMware Engine
  • Backup and DR
相关 NIST-800-53 控制措施
  • CP-2
  • CP-6
  • CP-9
  • CP-10
相关 CRI 配置文件控制
  • PR.IP-4.1
  • PR.IP-4.2
相关信息

为 VMware 工作负载实现应用级加密

Google 控制 ID GCVE-CO-1.1
实现 必需
说明

确保在 Google Cloud VMware Engine 上运行的应用对其流量进行加密。VMware Engine 不会加密传输中的工作负载流量。

适用的产品

VMware Engine

相关 NIST-800-53 控制措施
  • SC-8
  • SC-13
相关 CRI 配置文件控制措施
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相关信息

在 VMware vSAN 集群上启用传输中的数据加密

Google 控制 ID GCVE-CO-2.3
实现 必需
说明

在 VMware vSAN 集群上启用传输中数据加密,以加密数据、元数据和文件服务流量。

适用的产品

VMware Engine

相关 NIST-800-53 控制措施
  • SC-8
相关 CRI 配置文件控制
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相关信息

配置 vSAN 静态数据加密以使用 CMEK

Google 控制 ID GCVE-CO-2.2
实现 必需
说明

如果您的监管环境有此要求,请将 vSAN 静态数据加密配置为使用客户管理的加密密钥 (CMEK)。

适用的产品
  • VMware Engine
  • Cloud KMS
相关 NIST-800-53 控制措施
  • SC-12
  • SC-28
相关 CRI 配置文件控制措施
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-5.1
相关信息

轮替用于 vSAN 静态数据加密的密钥

Google 控制 ID GCVE-CO-2.4
实现 必需
说明

管理用于 vSAN 静态数据加密的密钥加密密钥 (KEK) 的生命周期。实施符合组织要求的密钥轮替程序。

适用的产品
  • VMware Engine
  • Cloud KMS
相关 NIST-800-53 控制措施
  • SC-12
相关 CRI 配置文件控制
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-5.1
相关信息

后续步骤