本文提供 Cloud de Confiance by S3NS服務 (例如 Compute Engine、Google Kubernetes Engine (GKE)、Pub/Sub、Dataflow 和 Cloud Run 函式) 的最佳做法和指南,適用於在Cloud de Confiance by S3NS上執行工作負載的情況。
運算控制項
這些控管措施適用於運算服務。
定義可啟用 IP 轉送功能的 VM 執行個體
| Google 控制項 ID | VPC-CO-6.3 |
|---|---|
| 實作 | 必填 |
| 說明 | compute.vmCanIpForward 限制會定義可啟用 IP 轉送功能的 VM 執行個體。根據預設,任何 VM 都可在任何虛擬網路中啟用 IP 轉送功能。請使用下列其中一種格式指定 VM 執行個體:
|
| 適用產品 |
|
| 路徑 | constraints/compute.vmCanIpForward |
| 運算子 | = |
| 值 |
|
| 類型 | 清單 |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
停用 VM 巢狀虛擬化功能
| Google 控制項 ID | VPC-CO-6.6 |
|---|---|
| 實作 | 必填 |
| 說明 | compute.disableNestedVirtualization 布林限制會停用 Compute Engine VM 的硬體加速式巢狀虛擬化功能。 |
| 適用產品 |
|
| 路徑 | constraints/compute.disableNestedVirtualization |
| 運算子 | 是 |
| 值 |
|
| 類型 | 布林值 |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
限制 VM 的外部 IP 位址
| Google 控制項 ID | VPC-CO-6.2 |
|---|---|
| 實作 | 必填 |
| 說明 | 除非必要,否則請避免建立具有公開 IP 位址的 Compute Engine 執行個體。 禁止 Compute Engine 執行個體使用外部 IP 位址,大幅降低執行個體暴露於網際網路的風險。只要執行個體有外部 IP 位址,就會立即遭到探索,並成為自動掃描、暴力攻擊和嘗試利用安全漏洞的直接目標。請改為要求執行個體使用私人 IP 位址,並透過受控、經過驗證且已記錄的路徑 (例如 Identity-Aware Proxy (IAP) 通道或堡壘主機) 管理存取權。 採用預設拒絕的態度是確保安全的最佳基礎做法,有助於縮小攻擊面,並對網路強制執行零信任方法。這項限制不會溯及既往。 |
| 適用產品 |
|
| 路徑 | constraints/compute.vmExternalIpAccess |
| 運算子 | = |
| 值 |
|
| 類型 | 清單 |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
為 VM 執行個體定義允許的外部 IP 位址
| Google 控制項 ID | CBD-CO-6.3 |
|---|---|
| 實作 | 必填 |
| 說明 | 您可以透過 |
| 適用產品 |
|
| 路徑 | compute.vmExternalIpAccess |
| 運算子 | = |
| 值 |
|
| 類型 | 清單 |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
停用 VM 序列埠存取權
| 實作 | 必填 |
|---|---|
| 說明 | 設定 停用序列埠存取權可強制所有管理存取權都必須透過標準稽核路徑 (例如 SSH) 進行,藉此落實縱深防禦安全措施,您也可以啟用 Identity and Access Management (IAM) 和 Identity-Aware Proxy (IAP) 來保護這些路徑。 |
| 適用產品 |
Compute Engine |
| 路徑 | constraints/compute.disableSerialPortAccess |
| 運算子 | = |
| 值 |
|
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
Cloud Run 函式必須使用虛擬私有雲連接器
| Google 控制項 ID | CF-CO-4.4 |
|---|---|
| 實作 | 必填 |
| 說明 |
|
| 適用產品 |
|
| 路徑 | constraints/cloudfunctions.requireVPCConnector |
| 運算子 | = |
| 值 |
|
| 類型 | 布林值 |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
啟用 Shielded VM 功能
| 實作 | 必填 |
|---|---|
| 說明 | 為執行個體啟用 Shielded VM 的虛擬信任平台模組 (vTPM) 和完整性監控屬性。vTPM 和完整性監控屬性是預設 VM 執行個體建立程序的一部分。使用 Shielded VM 的 vTPM 和完整性監控屬性,確保 VM 僅以值得信賴的未修改程式碼啟動。 vTPM 提供安全的虛擬加密處理器,可產生並儲存整個啟動順序的加密測量值,從 UEFI 韌體到核心驅動程式皆不例外。完整性監控功能會持續將這些執行階段測量結果,與 VM 首次建立時建立的已知良好基準進行比較。 這些功能提供可驗證的信任鏈結,並在偵測到任何惡意修改 (例如來自開機套件或 Rootkit 的修改) 時,自動發出警示或採取行動。Shielded VM 功能可從執行個體啟動時起,維護工作負載的完整性。 |
| 適用產品 |
Compute Engine |
| 路徑 | compute.instances/shieldedInstanceConfig.enableVtpm |
| 運算子 | 是 |
| 值 |
|
| 類型 | 布林值 |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
強制執行 VM 的 OS 登入功能
| 實作 | 必填 |
|---|---|
| 說明 | 如果您允許開發人員使用 SSH 存取 Compute Engine 資源,請設定 OS 登入功能並啟用兩步驟驗證。設定 將 SSH 權限與使用者身分繫結,對於安全性至關重要,因為移除使用者的 IAM 角色後,系統會立即撤銷他們在所有執行個體中的存取權,防止過時帳戶未經授權存取。系統會簡化金鑰管理作業,協助防止金鑰蔓延,並在 Cloud 稽核記錄中提供所有登入事件的清楚集中式稽核追蹤記錄。OS 登入功能也支援強制執行雙重驗證,為您提供重要防護機制,避免安全殼層金鑰和憑證遭竊。如果攻擊者盜用 OAuth 權杖,但沒有密碼或安全金鑰,這項功能就能派上用場。 Compute Engine 上的 Windows 執行個體不支援遠端桌面通訊協定 (RDP) 存取 OS 登入服務,因此無法針對 RDP 工作階段細部強制執行兩步驟驗證。使用 IAP Desktop 或以 Google Chrome 為基礎的 RDP 外掛程式時,請為 Google 服務設定工作階段長度等粗略控制項,並為使用者網路工作階段設定兩步驟驗證,然後停用「允許使用者信任裝置」設定 (位於兩步驟驗證下方)。 |
| 適用產品 |
Compute Engine |
| 路徑 | compute.projects/commonInstanceMetadata.items |
| 運算子 | 是 |
| 值 |
|
| 類型 | 布林值 |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
設定訊息儲存政策
| Google 控制項 ID | PS-CO-4.1 |
|---|---|
| 實作 | 選用 |
| 說明 | 如果您發布訊息至全球性 Pub/Sub 端點,Pub/Sub 會自動將訊息儲存在最靠近的 Cloud de Confiance by S3NS 區域。如要控管訊息會儲存到哪些區域,請為主題設定訊息儲存政策。如要為主題設定訊息儲存政策,請使用下列其中一種方法:
|
| 適用產品 |
|
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
關閉 Dataflow 工作的外部 IP 位址
| Google 控制項 ID | DF-CO-6.1 |
|---|---|
| 實作 | 選用 |
| 說明 | 關閉外部 IP 位址,以執行與 Dataflow 工作相關的管理和監控任務。請改用 SSH 設定 Dataflow worker VM 的存取權。 啟用 Private Google Access,並在 Dataflow 工作中指定下列其中一個選項:
其中:
|
| 適用產品 |
|
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
使用防火牆規則的網路標記
| Google 控制項 ID | DF-CO-6.2 |
|---|---|
| 實作 | 選用 |
| 說明 | 網路標記是附加至 Compute Engine VM (例如 Dataflow worker VM) 的文字屬性,可讓您建立適用於特定 VM 執行個體的虛擬私有雲網路防火牆規則和部分自訂靜態路徑。Dataflow 支援將網路標記新增至執行特定 Dataflow 工作的所有 worker VM。 |
| 適用產品 |
|
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
容器控制項
這些控制項適用於 GKE 中的容器。
限制控制層存取權
| Google 控制項 ID | GKE-CO-1.1 |
|---|---|
| 實作 | 必填 |
| 說明 | 根據預設,Google Kubernetes Engine (GKE) 叢集控制層和節點具有可從任何 IP 位址存取的網際網路轉送位址。使用 DNS 型端點並建立私人叢集,限制對控制層的網路存取權。控制層是 Kubernetes 叢集的管理中心,如果暴露在網路上,就會成為攻擊者的主要目標。這項設定會將控制層設為私有,並從網際網路中移除。 限制控制層存取權,可確保只有機構私人網路中的受信任裝置能管理叢集,大幅降低外部攻擊的風險。 |
| 適用產品 |
GKE |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
使用最低權限防火牆規則
| Google 控制項 ID | GKE-CO-1.2 |
|---|---|
| 實作 | 必填 |
| 說明 | 建立防火牆規則時,請採用最小權限原則,只為必要用途提供存取權。盡可能確保防火牆規則不會與 GKE 預設防火牆規則衝突。 |
| 適用產品 |
GKE |
| 相關的 NIST-800-53 控制項 |
|
| 相關資訊 |
使用 RBAC 適用的 Google 群組
| Google 控制項 ID | GKE-CO-1.3 |
|---|---|
| 實作 | 必填 |
| 說明 | 使用 Google 網路論壇進行角色式存取控管 (RBAC),並整合現有的使用者帳戶管理做法,例如在使用者離開貴機構時撤銷存取權。透過 RBAC 使用 Google 群組,有助於使用 Identity and Access Management (IAM) 和 Google 群組,有效管理叢集存取權,適合使用 Google 群組的大多數機構。 |
| 適用產品 |
Google Kubernetes Engine (GKE) |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
啟用受防護的 GKE 節點
| Google 控制項 ID | GKE-CO-1.4 |
|---|---|
| 實作 | 必填 |
| 說明 | 啟用 Shielded GKE 節點,對叢集中的節點進行加密驗證。受防護的 GKE 節點提供可驗證的高強度節點身分和完整性。建立或更新叢集時,請啟用受防護的 GKE 節點。盡可能使用具備安全啟動功能的 Shielded GKE 節點,在啟動程序中驗證節點 VM 的啟動元件。如果您需要第三方未簽署的核心模組,請不要使用安全啟動。 建立叢集時,系統預設會啟用 Shielded GKE 節點。 |
| 適用產品 |
GKE |
| 相關的 NIST-800-53 控制項 |
|
| 相關資訊 |
使用含有 containerd 執行階段的 Container-Optimized OS
| Google 控制項 ID | GKE-CO-1.5 |
|---|---|
| 實作 | 必填 |
| 說明 | 使用 Container-Optimized OS 實作經過強化的受管理容器 OS。一般用途作業系統包含許多執行容器不需要的額外程式,因此會為攻擊者創造不必要的目標。Container-Optimized OS 是經過鎖定的極簡作業系統,只包含必要項目,因此可大幅減少攻擊面。Container-Optimized OS 是代管作業系統,Google 會自動套用安全修補程式,確保修正重大安全漏洞,並減少作業負擔。 包含 Container-Optimized OS with containerd (cos_containerd) 的映像檔,會以 containerd 做為直接與 Kubernetes 整合的主要容器執行階段。containerd 是 Docker 的核心執行階段元件,用於提供 Kubernetes 容器執行階段介面 (CRI) 的核心容器功能。此元件比完整的 Docker Daemon 單純許多,因此攻擊面更少。 |
| 適用產品 |
Container-Optimized OS |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
使用 Workload Identity Federation for GKE
| Google 控制項 ID | GKE-CO-1.6 |
|---|---|
| 實作 | 必填 |
| 說明 | 使用 Workload Identity Federation for GKE,從 Google Kubernetes Engine (GKE) 工作負載安全地向 API 進行驗證。 Cloud de Confiance by S3NS 相較於使用服務帳戶金鑰,Workload Identity Federation for GKE 提供更簡單安全的替代方案。 |
| 適用產品 |
GKE |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
|
啟用 GKE Sandbox
| Google 控制項 ID | GKE-CO-1.7 |
|---|---|
| 實作 | 必填 |
| 說明 | 使用 GKE Sandbox 提供額外的安全防護層,防止不受信任的程式碼影響 Google Kubernetes Engine (GKE) 叢集節點上的主機核心。GKE Sandbox 可強化不受信任或機密工作負載的隔離機制,提供額外防護層,防範容器逸出攻擊。 |
| 適用產品 |
GKE |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
停用 kubelet 唯讀埠
| Google 控制項 ID | GKE-CO-1.9 |
|---|---|
| 實作 | 必填 |
| 說明 | 停用 kubelet 唯讀通訊埠 10255,改用更安全的通訊埠 10250。Kubernetes 不會對這個連接埠執行任何驗證或授權檢查。kubelet 會在經過驗證的通訊埠 10250 上提供相同的端點,安全性更高。 只有在 GKE 1.26.4-gke.500 以上版本中,才能停用不安全的 kubelet 唯讀埠。 |
| 適用產品 |
GKE |
| 相關的 NIST-800-53 控制項 |
|
| 相關資訊 |
使用命名空間和 RBAC 來限制叢集資源的存取權
| Google 控制項 ID | GKE-CO-1.10 |
|---|---|
| 實作 | 必填 |
| 說明 | 為各個團隊和環境分別建立不同的命名空間或叢集,授予團隊最低的 Kubernetes 存取權限。為每個命名空間分配成本中心與適當的標籤,以便於問責和退款。僅向開發人員提供部署和管理應用程式所需的命名空間存取層級 (尤其是在實際工作環境)。規劃使用者需要對叢集執行的工作,並定義執行各項工作所需的權限。 指派適當的 Google Kubernetes Engine (GKE) Identity and Access Management (IAM) 角色給群組和使用者,以提供專案層級的權限,並使用 RBAC 授予叢集和命名空間層級的權限。 |
| 適用產品 |
|
| 相關的 NIST-800-53 控制項 |
|
| 相關資訊 |
限制 Pod 之間的流量
| Google 控制項 ID | GKE-CO-1.11 |
|---|---|
| 實作 | 必填 |
| 說明 | 依預設,同一叢集裡的所有 Pod 都能互相通訊。根據工作負載,視需要控管 Pod 對 Pod 的通訊。限制對服務的網路存取權後,攻擊者會更難以在叢集內橫向移動,同時也能為服務提供部分保護,防範意外或刻意阻斷服務的情形。 控管流量的方法有兩種:
|
| 適用產品 |
GKE |
| 相關的 NIST-800-53 控制項 |
|
| 相關資訊 |
使用許可控制器強制執行政策
| Google 控制項 ID | GKE-CO-1.12 |
|---|---|
| 實作 | 必填 |
| 說明 | 許可控制器是一種外掛程式,可管理並強制控制叢集的使用方式。啟用這類程式,才能使用 Kubernetes 部分更為進階的安全功能,同時這也是強化叢集深度防護措施的重要環節之一。依預設,Kubernetes 中的 Pod 能以超乎必要的功能運作。使用准入控制項,將 Pod 的功能限制在工作負載需要的範圍內。 GKE 支援多種控制項,可將 Pod 限制為僅以受到明確授權的功能來執行。舉例來說,機群中的叢集可以使用 Policy Controller。Kubernetes 也有內建的 PodSecurity 許可控制器,可讓您在個別叢集中強制執行 Pod 安全性標準。Policy Controller 是 GKE 的一項功能,可讓您使用宣告式政策,大規模強制執行及驗證 GKE 叢集的安全性。 |
| 適用產品 |
GKE |
| 相關的 NIST-800-53 控制項 |
|
| 相關資訊 |
限制工作負載自行修改的能力
| Google 控制項 ID | GKE-CO-1.13 |
|---|---|
| 實作 | 必填 |
| 說明 | 特定 Kubernetes 工作負載 (尤其是系統工作負載) 有權自行修改。舉例來說,部分工作負載會自動垂直擴充。雖然自我修改很方便,但如果攻擊者已入侵節點,就能在叢集中進一步擴大攻擊範圍。舉例來說,攻擊者可能會讓節點上的工作負載變更自身,以同一個命名空間中權限較高的服務帳戶執行。 請勿預設授予工作負載修改自身的權限。如果必須進行自我修改,請套用 Gatekeeper 或 Policy Controller 限制 (例如開放原始碼 Gatekeeper 程式庫中的 NoUpdateServiceAccount),藉此限制權限,並提供多項實用的安全性政策。 部署政策時,請允許管理叢集生命週期的控制器略過政策。控制器必須變更叢集,例如套用叢集升級。舉例來說,如果您在 GKE 上部署 NoUpdateServiceAccount 政策,就必須在限制條件中設定下列參數: parameters: allowedGroups: - system:masters allowedUsers: - system:addon-manager |
| 適用產品 |
GKE |
| 相關的 NIST-800-53 控制項 |
|
| 相關資訊 |
監控叢集設定
| Google 控制項 ID | GKE-CO-1.14 |
|---|---|
| 實作 | 必填 |
| 說明 | 檢查叢集設定是否與定義的設定有所出入。您可以使用 Security Command Center,自動檢查這些最佳做法中涵蓋的設定,以及其他常見設定錯誤。 |
| 適用產品 |
|
| 相關的 NIST-800-53 控制項 |
|
| 相關資訊 |
強制執行二進位授權
| Google 控制項 ID | BIN-CO-1.1 |
|---|---|
| 實作 | 必填 |
| 說明 | 使用二進位授權,確保受信任的映像檔會部署至 Google Kubernetes Engine (GKE) 和 Cloud Run。二進位授權可確保只有經過驗證且受信任的容器映像檔能部署至叢集,進而強化軟體供應鏈安全。 |
| 適用產品 |
|
| 路徑 | constraints/binaryauthorization.requireBinauthz |
| 運算子 | == |
| 值 |
|
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
使用 GKE Autopilot
| 實作 | 必填 |
|---|---|
| 說明 | 使用 Google Kubernetes Engine (GKE) Autopilot 叢集。Autopilot 叢集提供強大的安全防護措施,預設啟用許多容器或 GKE 安全性最佳做法。 |
| 適用產品 |
GKE |
| 路徑 | container.clusters/autopilot.enabled |
| 運算子 | 是 |
| 值 |
|
| 類型 | 布林值 |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
為 GKE 叢集和節點使用最低權限帳戶
| 實作 | 必填 |
|---|---|
| 說明 | 為 Google Kubernetes Engine (GKE) 叢集和節點使用最低權限的 Identity and Access Management (IAM) 服務帳戶。GKE 控制層的存取權僅限於單一 DNS 端點。實作最低權限原則可大幅縮減攻擊面,不必額外設定防火牆規則或堡壘主機。 |
| 適用產品 |
GKE |
| 路徑 | container.clusters/nodeConfig.serviceAccount |
| 運算子 | != |
| 值 |
|
| 類型 | 字串 |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
使用私有 GKE 節點
| 實作 | 必填 |
|---|---|
| 說明 | 建立私人節點,降低網際網路曝露風險。私有 Google Kubernetes Engine (GKE) 節點可確保 GKE 節點沒有公開 IP 位址,有助於減少網際網路曝光。 |
| 適用產品 |
GKE |
| 路徑 | container.clusters/networkConfig.defaultEnablePrivateNodes |
| 運算子 | 是 |
| 值 |
|
| 類型 | 布林值 |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
使用機密 Google Kubernetes Engine 節點
| 實作 | 必填 |
|---|---|
| 說明 | 使用機密 GKE 節點,強制加密節點和工作負載中的使用中資料。機密 GKE 節點會透過機密運算功能加密使用中的資料,協助保護高度機密的工作負載。 |
| 適用產品 |
Google Kubernetes Engine (GKE) |
| 路徑 | container.clusters/confidentialNodes.enabled |
| 運算子 | 是 |
| 值 |
|
| 類型 | 布林值 |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
在 GKE 中執行自訂憑證授權單位
| 實作 | 必填 |
|---|---|
| 說明 | 執行自己的憑證授權單位,管理 Google Kubernetes Engine (GKE) 中的金鑰。使用自己的憑證授權單位,可進一步控管加密編譯作業。如要要求存取這項功能,請與 Cloud de Confiance by S3NS 帳戶團隊聯絡。 |
| 適用產品 |
GKE |
| 路徑 | container.clusters/userManagedKeysConfig.clusterCa |
| 運算子 | 已設定 |
| 類型 | 字串 |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
使用 Cloud KMS 加密 Kubernetes Secret
| 實作 | 必填 |
|---|---|
| 說明 | 使用 Cloud Key Management Service (Cloud KMS) 管理的金鑰,加密 Kubernetes Secret 靜態資料。Cloud KMS 可讓您使用自有及管理的金鑰加密 Kubernetes Secret,為 etcd 資料提供額外一層安全防護。 |
| 適用產品 |
|
| 路徑 | container.clusters/databaseEncryption.keyName |
| 運算子 | 已設定 |
| 類型 | 字串 |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
使用 CMEK 保護節點開機磁碟
| 實作 | 必填 |
|---|---|
| 說明 | 使用客戶自行管理的加密金鑰 (CMEK) 加密節點開機磁碟。CMEK 可讓您使用自有及管理的金鑰,加密 Kubernetes 節點的開機磁碟。 |
| 適用產品 |
|
| 路徑 | container.clusters/nodeConfig.bootDiskKmsKey |
| 運算子 | 已設定 |
| 類型 | 字串 |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
VMware Engine 控制項
限制 VMware Engine 的管理員角色指派
| Google 控制項 ID | GCVE-CO-3.1 |
|---|---|
| 實作 | 必填 |
| 說明 | 請只將管理員角色授予部署及設定 Google Cloud VMware Engine 私有雲的服務帳戶,以及少數管理員。通常手動新增或刪除叢集和節點的動作不常發生,但可能會對帳單或叢集可用性造成重大影響。 請務必定期稽核已獲派 VMware Engine 服務管理員角色的人員,無論是直接在用於 VMware Engine 的專案中,或是在資源階層的其中一個父項層級。這項稽核應包含其他角色,例如基本編輯者和擁有者角色,這些角色包含與 VMware Engine 相關的重要權限。您可以使用 IAM 角色建議工具等服務,找出權限過高的角色。 |
| 適用產品 |
|
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
使用 VMware Engine 服務檢視者角色取得最低權限
| Google 控制項 ID | GCVE-CO-3.3 |
|---|---|
| 實作 | 必填 |
| 說明 | 預設情況下,只在必要時將 VMware Engine 服務檢視者角色授予使用者。VMware Engine 服務檢視者角色提供 Google Cloud VMware Engine 的唯讀存取權, Cloud de Confiance by S3NS 足以執行大多數工作。 |
| 適用產品 |
|
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
為 vCenter Server Appliance 角色採用 RBAC 和最小權限
| Google 控制項 ID | GCVE-CO-3.4 |
|---|---|
| 實作 | 必填 |
| 說明 | 在 vCenter Server Appliance 中授予 VMware 層級角色時,請使用角色式存取控管 (RBAC) 和最小權限原則。 |
| 適用產品 |
VMware Engine |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
為 VMware 使用者啟用身分聯盟
| Google 控制項 ID | GCVE-CO-3.5 |
|---|---|
| 實作 | 必填 |
| 說明 | 維護單一身分解決方案,以便佈建及管理使用者帳戶。這項最佳做法可讓您集中處理身分生命週期管理、群組管理和密碼管理等活動。避免建立破碎的 ID 策略。 |
| 適用產品 |
VMware Engine |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
將角色授予群組,而非 vCenter Server Appliance 的個別使用者
| Google 控制項 ID | GCVE-CO-3.6 |
|---|---|
| 實作 | 必填 |
| 說明 | 在 vCenter Server Appliance 中授予 VMware 層級的角色時,請將角色授予您在身分識別供應商中建立的群組。請勿建立零散的 ID 策略。 |
| 適用產品 |
VMware Engine |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
請勿在 vSphere 中將 Cloud-Owner-Role 指派給使用者群組
| Google 控制項 ID | GCVE-CO-3.7 |
|---|---|
| 實作 | 必填 |
| 說明 | 在 vSphere 中建立使用者群組時,請勿指派 Cloud-Owner-Role。這個角色可授予私有雲 vCenter 環境的管理控制權,同時限制某些底層全域基礎架構權限。如果使用者群組的權限高於 Cloud-Owner-Role,系統會自動將權限重設為 Cloud-Owner-Role。 |
| 適用產品 |
VMware Engine |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
避免使用預設的 vCenter 和 NSX-T 服務帳戶
| Google 控制項 ID | GCVE-CO-3.8 |
|---|---|
| 實作 | 必填 |
| 說明 | 除了初始設定程序和緊急程序外,請勿使用預設的 vCenter 服務帳戶 (CloudOwner@gve.local) 和預設的 NSX-T 服務帳戶管理員 (admin)。這些預設服務帳戶包含強大的權限,例如 Cloud-Owner-Role 和 Enterprise Admin。將這些服務帳戶的憑證儲存於 Secret Manager。 |
| 適用產品 |
VMware Engine |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
每隔 90 天輪替一次預設 vCenter 和 NSX-T 服務帳戶的密碼
| Google 控制項 ID | GCVE-CO-3.9 |
|---|---|
| 實作 | 必填 |
| 說明 | 為防止未經授權揭露預設 vCenter 服務帳戶 (CloudOwner@gve.local) 和預設 NSX-T 服務帳戶管理員 (admin) 的憑證,請每 90 天輪替一次密碼。 |
| 適用產品 |
VMware Engine |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
使用 NSX 閘道防火牆區隔南北向流量
| Google 控制項 ID | GCVE-CO-1.2 |
|---|---|
| 實作 | 必填 |
| 說明 | 使用 NSX 閘道防火牆,控管進出私有雲的南北向網路流量。NSX 閘道防火牆是南北向防火牆,可保護周邊。 |
| 適用產品 |
VMware Engine |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
使用 NSX 分散式防火牆區隔東西向流量
| Google 控制項 ID | GCVE-CO-1.3 |
|---|---|
| 實作 | 必填 |
| 說明 | 使用 NSX Distributed Firewall (DFW),控管私有雲內的東向/西向網路流量。根據預設,所有子網路都能相互通訊。使用 DFW 定義應用程式內應用程式和服務之間的允許流量。 |
| 適用產品 |
VMware Engine |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
為具有不同安全需求的作業負載建立個別的子網路
| Google 控制項 ID | GCVE-CO-1.4 |
|---|---|
| 實作 | 必填 |
| 說明 | 如果您執行的工作負載有不同的安全性需求或資料分類,請建立工作負載子網路來分隔這些工作負載。子網路可避免混用安全需求和狀態各異的工作負載,進而縮小潛在的影響範圍。 |
| 適用產品 |
VMware Engine |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
建立記錄接收器,儲存 VMware Engine 稽核記錄
| Google 控制項 ID | GCVE-CO-4.1 |
|---|---|
| 實作 | 必填 |
| 說明 | 使用記錄接收器儲存 Google Cloud VMware Engine API 稽核記錄。您可以視需要將稽核記錄轉送至不同目的地。 |
| 適用產品 |
VMware Engine |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
收集 VMware 層級的平台記錄
| Google 控制項 ID | GCVE-CO-4.2 |
|---|---|
| 實作 | 必填 |
| 說明 | 如要收集 VMware 層級的平台記錄 (例如 vCenter 和 NSX-T 系統記錄檔訊息),請將 Google Cloud VMware Engine 私有雲設定為將系統記錄檔轉送至集中式記錄檔彙整工具。這些記錄不會收集在 VMware Engine 稽核記錄中,必須另外收集。 |
| 適用產品 |
VMware Engine |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
使用記錄與監控功能監控應用程式
| Google 控制項 ID | GCVE-CO-4.3 |
|---|---|
| 實作 | 必填 |
| 說明 | 安裝獨立代理程式,從 VMware vSphere 平台啟用 Cloud Logging 和 Cloud Monitoring。獨立代理程式可收集工作負載層級的記錄檔,並傳送至 Logging 和 Monitoring 進行分析及儲存。 |
| 適用產品 |
|
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
在符合資料落地規定的區域中建立私有雲
| Google 控制項 ID | GCVE-CO-2.1 |
|---|---|
| 實作 | 必填 |
| 說明 | 在符合貴機構資料落地規定的區域中,建立 Google Cloud VMware Engine 私有雲。私有雲是長期佈建的資源,部署和遷移作業相當複雜。 |
| 適用產品 |
VMware Engine |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
導入備份與災難復原策略
| Google 控制項 ID | GCVE-CO-5.1 |
|---|---|
| 實作 | 必填 |
| 說明 | 為工作負載實作備份和災難復原服務,或第三方備份解決方案。根據預設,Google Cloud VMware Engine 只會自動備份 vCenter 和 NSX 設定。備份和災難復原服務可簡化 VM 備份和復原作業。 |
| 適用產品 |
|
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
為 VMware 工作負載實作應用程式層級加密
| Google 控制項 ID | GCVE-CO-1.1 |
|---|---|
| 實作 | 必填 |
| 說明 | 確保在 Google Cloud VMware Engine 上執行的應用程式會加密流量。VMware Engine 不會加密傳輸中的工作負載流量。 |
| 適用產品 |
VMware Engine |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
在 VMware vSAN 叢集上啟用傳輸中資料加密功能
| Google 控制項 ID | GCVE-CO-2.3 |
|---|---|
| 實作 | 必填 |
| 說明 | 在 VMware vSAN 叢集上啟用傳輸中資料加密功能,加密資料、中繼資料和檔案服務流量。 |
| 適用產品 |
VMware Engine |
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
設定 vSAN 靜態資料加密,以使用 CMEK
| Google 控制項 ID | GCVE-CO-2.2 |
|---|---|
| 實作 | 必填 |
| 說明 | 如果法規環境有相關規定,請設定 vSAN 靜態資料加密功能,使用客戶自行管理的加密金鑰 (CMEK)。 |
| 適用產品 |
|
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |
輪替用於 vSAN 靜態資料加密的金鑰
| Google 控制項 ID | GCVE-CO-2.4 |
|---|---|
| 實作 | 必填 |
| 說明 | 管理用於 vSAN 靜態資料加密的金鑰加密金鑰 (KEK) 生命週期。實作符合貴機構需求的金鑰輪替程序。 |
| 適用產品 |
|
| 相關的 NIST-800-53 控制項 |
|
| 相關的 CRI 設定檔控制項 |
|
| 相關資訊 |