Dieses Dokument enthält die Best Practices und Richtlinien für die Erstellung einer sicheren Unternehmensgrundlage für die Ausführung von Arbeitslasten, dieCloud de Confiance by S3NSverwenden. Eine sichere Unternehmensbasis umfasst Kontrollen für Folgendes:
- Authentifizierung und Autorisierung
- Organisation
- Netzwerk
- Logging, Monitoring und Benachrichtigungen
- Schlüssel- und Secret-Verwaltung
- Sicherheitsstatus und ‑analysen
Authentifizierung und Autorisierung
Dieser Abschnitt enthält die Best Practices und Richtlinien für Identity and Access Management (IAM) und Cloud Identity beim Ausführen von Arbeitslasten auf Cloud de Confiance by S3NS.
Automatische IAM-Zuweisungen für Standarddienstkonten deaktivieren
| Google-Einstellungs-ID | IAM-CO-4.1 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Verwenden Sie die boolesche Einschränkung Standardmäßig werden automatisierten Konten in einigen Systemen zu weitreichende Berechtigungen erteilt, was ein potenzielles Sicherheitsrisiko darstellt. Wenn Sie diese Einschränkung beispielsweise nicht erzwingen und ein Standarddienstkonto erstellen, erhält das Dienstkonto automatisch die Rolle „Bearbeiter“ ( |
| Entsprechende Produkte |
|
| Pfad | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
| Operator | Ist |
| Wert |
|
| Typ | Boolesch |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Erstellung externer Dienstkontoschlüssel blockieren
| Google-Einstellungs-ID | IAM-CO-4.2 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Mit der booleschen Einschränkung |
| Entsprechende Produkte |
|
| Pfad | constraints/iam.disableServiceAccountKeyCreation |
| Operator | Ist |
| Wert |
|
| Typ | Boolesch |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Hochladen von Dienstkontoschlüsseln blockieren
| Google-Einstellungs-ID | IAM-CO-4.3 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Mit der booleschen Einschränkung |
| Entsprechende Produkte |
|
| Pfad | constraints/iam.disableServiceAccountKeyUpload |
| Operator | Ist |
| Wert |
|
| Typ | Boolesch |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Aufgabentrennung für Administratoren von Organisationsrichtlinien konfigurieren
| Google-Einstellungs-ID | OPS-CO-6.1 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Weisen Sie Gruppen, die für die Sicherheitslage der Organisation Cloud de Confiance by S3NS verantwortlich sind, die Rolle „Administrator für Unternehmensrichtlinien“ (
roles/orgpolicy.policyAdmin) zu. Um die Erstellung von Ressourcen zu vermeiden, die gegen die Sicherheitsrichtlinie verstoßen, weisen Sie diese Rolle nicht Projektinhabern zu. |
| Entsprechende Produkte |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Bestätigung in zwei Schritten für Super Admin-Konten aktivieren
| Google-Einstellungs-ID | CI-CO-6.1 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Google empfiehlt Titan-Sicherheitsschlüssel für die 2‑Faktor-Authentifizierung (2FA) für Super Admin-Konten. Für Anwendungsfälle, in denen dies nicht möglich ist, empfehlen wir jedoch, stattdessen einen anderen Sicherheitsschlüssel zu verwenden. |
| Entsprechende Produkte |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Bestätigung in zwei Schritten für die Organisationseinheit des Super Admin erzwingen
| Google-Einstellungs-ID | CI-CO-6.2 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Erzwingen Sie die 2‑Faktor-Authentifizierung für eine bestimmte Organisationseinheit oder die gesamte Organisation. Wir empfehlen, eine OE für Super Admins zu erstellen und die Bestätigung in zwei Schritten für diese OE zu erzwingen. |
| Entsprechende Produkte |
Cloud Identity |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
E‑Mail-Adresse für den primären Super Admin erstellen
| Google-Einstellungs-ID | CI-CO-6.4 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Erstellen Sie eine E-Mail-Adresse, die nicht für einen bestimmten Nutzer als primäres Cloud Identity-Super Admin-Konto spezifisch ist.
|
| Entsprechende Produkte |
Cloud Identity |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Redundante Administratorkonten erstellen
| Google-Einstellungs-ID | CI-CO-6.7 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Es gibt keinen einzelnen Super Admin oder Organisationsadministrator. Erstellen Sie ein oder mehrere (bis zu 20) Administrator-Sicherungskonten. Ein einzelner Super Admin oder Organisationsadministrator kann zu Sperrszenarien führen. Diese Situation birgt auch ein höheres Risiko, da eine Person plattformverändernde Änderungen vornehmen kann, möglicherweise ohne Aufsicht. |
| Entsprechende Produkte |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Privileged Access Manager verwenden
| Google-Einstellungs-ID | GCVE-CO-3.2 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Verwenden Sie Privileged Access Manager, um privilegierten Zugriff zu verwalten. Verwenden Sie für alle anderen Zugriffe Zugriffsgruppen, lassen Sie Gruppenmitgliedschaften automatisch ablaufen und implementieren Sie einen Genehmigungsworkflow für Gruppenmitgliedschaften. Wenn Sie das Modell der geringsten Berechtigung verwenden, können Sie nur bei Bedarf Zugriff auf die benötigten Ressourcen gewähren. Die Verwendung vordefinierter Rollen vereinfacht die Nutzung und reduziert die durch benutzerdefinierte Rollen verursachte Ausweitung, sodass Sie sich nicht um die Verwaltung des Rollenlebenszyklus kümmern müssen. |
| Entsprechende Produkte |
Identity and Access Management (IAM) |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
„Source of Truth“ für Identitäten definieren
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Legen Sie die zentrale Datenquelle für die Bereitstellung verwalteter Nutzeridentitäten fest. Zu den Mustern gehören das Erstellen von Nutzeridentitäten in Cloud Identity, das Synchronisieren von Identitäten von einem vorhandenen Identitätsanbieter oder die Verwendung der Mitarbeiteridentitätsföderation. |
| Entsprechende Produkte |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
|
Richtlinien für starke Passwörter erzwingen
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Erzwingen Sie starke und eindeutige Passwörter für alle Nutzerkonten. Verwenden Sie einen Passwortmanager. Schwache oder fehlende Anmeldedaten sind ein häufiges Muster, das böswillige Nutzer leicht ausnutzen können. |
| Entsprechende Produkte |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Rollen basierend auf Aufgabenbereichen verwenden
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Verwenden Sie IAM-Rollen (Identity and Access Management), die auf Jobfunktionen basieren, um Nutzern Berechtigungen zuzuweisen. Jobfunktionen sind vordefinierte Rollen, mit denen Administratoren eine Reihe von Berechtigungen bereitstellen können, die auf eine Jobfunktion beschränkt sind. So wird die Produktivität gesteigert und der Aufwand für das Anfordern von Berechtigungen verringert. Um die Anforderungen Ihrer Organisation besser zu erfüllen, können Sie benutzerdefinierte Rollen auf Grundlage vordefinierter Rollen erstellen. |
| Entsprechende Produkte |
IAM |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Externe Mitglieder in Gruppen einschränken
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Organisationsweite Richtlinien festlegen, um zu verhindern, dass externe Mitglieder zu Google-Gruppen hinzugefügt werden Standardmäßig können externe Nutzerkonten zu Gruppen in Cloud Identity hinzugefügt werden. Wir empfehlen, die Freigabe-Einstellungen so zu konfigurieren, dass Gruppeninhaber keine externen Mitglieder hinzufügen können. Hinweis: Diese Einschränkung gilt nicht für das Super Admin-Konto oder andere delegierte Administratoren mit Google Groups-Administratorberechtigungen. Da die Föderation von Ihrem Identitätsanbieter mit Administratorberechtigungen ausgeführt wird, gelten die Einstellungen für die Gruppenfreigabe nicht für diese Gruppensynchronisierung. Wir empfehlen Ihnen, die Steuerelemente beim Identitätsanbieter und im Synchronisierungsmechanismus zu prüfen, um sicherzustellen, dass Mitglieder, die nicht zur Domain gehören, nicht zu Gruppen hinzugefügt werden, oder Gruppeneinschränkungen anzuwenden. |
| Entsprechende Produkte |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Tägliche Sitzungslänge festlegen
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Legen Sie die Sitzungsdauer für Cloud de Confiance by S3NS -Dienste so fest, dass sie mindestens einmal täglich abläuft. Wenn Sie ein Konto über einen längeren Zeitraum angemeldet lassen, kann das ein Sicherheitsrisiko darstellen. Wenn Sie eine maximale Sitzungsdauer erzwingen, wird die Sitzung nach einer bestimmten Zeit automatisch beendet und eine neue, sichere Anmeldung ist erforderlich. So wird die Wahrscheinlichkeit verringert, dass ein böswilliger Nutzer ein gestohlenes Passwort verwendet, und der Zugriff wird regelmäßig neu überprüft. Bei Neukunden wird automatisch eine Standardsitzungslänge von 16 Stunden erzwungen. Kunden, die ihre Cloud de Confiance by S3NS -Organisation vor 2023 erstellt haben, haben möglicherweise eine Standardeinstellung, die eine erneute Authentifizierung nie erfordert. Prüfen Sie diese Einstellung, um sicherzustellen, dass Sie eine Richtlinie für die erneute Authentifizierung mit einer Sitzungslänge zwischen 1 und 24 Stunden haben. Die Richtlinie zur erneuten Authentifizierung macht das Aktualisierungstoken ungültig und zwingt den Nutzer, die gcloud CLI regelmäßig mit seinem Passwort oder Sicherheitsschlüssel neu zu authentifizieren. Die Sitzungslänge für Cloud de Confiance by S3NS -Dienste unterscheidet sich von der Sitzungslänge für Google-Dienste, die Websitzungen für die Anmeldung in Google Workspace-Diensten steuert, aber keine Kontrolle über die erneute Authentifizierung für die Cloud de Confiance by S3NShat. Wenn Sie Google Workspace-Dienste verwenden, legen Sie die Sitzungsdauer für beide fest. |
| Entsprechende Produkte |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Nicht verwaltete Privatnutzerkonten beheben
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Nicht verwaltete Privatnutzerkonten nicht zulassen. Konsolidieren Sie alle nicht verwalteten Privatnutzerkonten und überlegen Sie sich eine Lösung, um die Erstellung weiterer nicht verwalteter Privatnutzerkonten mit Ihrer Domain zu verhindern. Nicht verwaltete Privatnutzerkonten unterliegen nicht Ihren Prozessen für neue, wechselnde und ausscheidende Mitarbeiter. Daher besteht das Risiko, dass ein Mitarbeiter nach seinem Ausscheiden weiterhin Zugriff auf Ihre Ressourcen hat. Diese Konten werden auch in Bezug auf Steuerelemente wie die domaineingeschränkte Freigabe als extern behandelt. |
| Entsprechende Produkte |
Cloud Identity |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Spezielle Administratoren und Genehmigung durch mehrere Parteien erzwingen
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Super Admin-Konten sollten von den Nutzerkonten für den täglichen Gebrauch getrennt sein. Super Admin-Konten müssen dedizierte Konten sein, die nur für wichtige Änderungen verwendet werden. Aktivieren Sie die Genehmigung durch mehrere Parteien für Administratoraktionen, um die Sicherheit zu erhöhen. Wenn Sie die Genehmigung durch mehrere Parteien aktivieren, werden sensible Aktionen von zwei Administratoren genehmigt. So wird verhindert, dass Angreifer ein Administratorkonto kompromittieren und andere Administratoren aussperren. |
| Entsprechende Produkte |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Multi-Faktor-Authentifizierung für alle Google-Konten und Cloud Identity-Nutzer aktivieren
| Google-Einstellungs-ID | CI-CO-6.1 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA), auch 2‑Faktor-Authentifizierung (2FA) genannt, für alle Google-Konten und Cloud Identity-Nutzer, nicht nur für Super Admins. Die MFA für Super Admins ist standardmäßig aktiviert. Die MFA bietet eine zusätzliche Sicherheitsebene, da Passwörter allein oft nicht ausreichen. |
| Entsprechende Produkte |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Standardrollen für Creator entfernen
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Entfernen Sie die domainweiten Rollen „Project Creator“ und „Billing Account Creator“, die standardmäßig allen Mitgliedern einer neuen Organisation zugewiesen werden. In neuen Organisationen werden allen verwalteten Nutzeridentitäten in der Domain die Rollen „Projektersteller“ und „Rechnungskontoersteller“ zugewiesen. Diese Rollen sind zwar nützlich für den Einstieg, diese Konfiguration ist jedoch nicht für Produktionsumgebungen vorgesehen. Wenn sich Abrechnungskonten vermehren, führt das zu einem erhöhten Verwaltungsaufwand und hat technische Folgen, wenn Dienste auf mehrere Abrechnungskonten aufgeteilt werden. Wenn Sie die kostenlose Projekterstellung zulassen, kann es zu Projekten kommen, die nicht Ihren Governance-Konventionen entsprechen. Entfernen Sie stattdessen diese Rollen und richten Sie einen Prozess zum Erstellen von Projekten ein, um neue Projekte anzufordern und sie mit der Abrechnung zu verknüpfen. |
| Entsprechende Produkte |
IAM |
| Pfad | resourcemanager.organizations/iamPolicy.bindings |
| Operator | not_contains |
| Wert |
|
| Typ | String |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Dienstkontoschlüssel rotieren
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Wenn Sie Dienstkontoschlüssel verwenden müssen, rotieren Sie die Schlüssel mindestens alle 90 Tage. Ein Rotationsintervall begrenzt, wie lange ein Angreifer Zugriff auf das System haben kann. Ohne Rotationsintervall hat der Angreifer dauerhaft Zugriff. Verwenden Sie nach Möglichkeit die Workload Identity-Föderation anstelle von Dienstkontoschlüsseln. |
| Entsprechende Produkte |
IAM |
| Pfad | constraints/iam.serviceAccountKeyExpiryHours |
| Operator | <= |
| Wert |
|
| Typ | String |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Workload Identity-Föderation verwenden
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Mit Workload Identity-Föderation können sich CI/CD-Systeme und Arbeitslasten, die in anderen Clouds ausgeführt werden, bei Cloud de Confiance by S3NSauthentifizieren. Mit der Workload Identity-Föderation können sich Arbeitslasten, die außerhalb von Cloud de Confiance ausgeführt werden, authentifizieren, ohne dass ein Dienstkontoschlüssel erforderlich ist. Wenn Sie Dienstkontoschlüssel und andere langlebige Anmeldedaten vermeiden, kann die Workload Identity-Föderation dazu beitragen, das Risiko von Anmeldedatenlecks zu verringern. |
| Entsprechende Produkte |
IAM |
| Pfad | iam.googleapis.com/WorkloadIdentityPool |
| Operator | Ist festgelegt |
| Typ | String |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Eigenständige Kontowiederherstellung für Super Admin-Konten blockieren
| Google-Einstellungs-ID | CI-CO-6.3 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Die eigenständige Kontowiederherstellung durch Super Admins ist für neue Kunden standardmäßig deaktiviert. Bestehende Kunden haben diese Einstellung möglicherweise aktiviert. Durch das Deaktivieren dieser Einstellung verringern Sie das Risiko, dass ein manipuliertes Telefon, ein manipuliertes E-Mail-Konto oder ein Social Engineering-Angriff Angreifern in Ihrer Umgebung Super Admin-Berechtigungen gewähren kann. Planen Sie einen internen Prozess, damit ein Super Admin einen anderen Super Admin in Ihrer Organisation kontaktieren kann, wenn er keinen Zugriff mehr auf sein Konto hat. Sorgen Sie außerdem dafür, dass alle Super Admins mit dem Prozess für die supportgestützte Wiederherstellung vertraut sind. Wenn Sie die Funktion deaktivieren möchten, rufen Sie in der Admin-Konsole die Einstellungen zur Kontowiederherstellung auf. |
| Entsprechende Produkte |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Zeitüberschreitung für inaktive Sitzungen für vertrauliche Anwendungsfälle festlegen
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Legen Sie das Zeitlimit für Inaktivitätssitzungen für sensible Anwendungsfälle auf 15 Minuten fest. Inaktive Sitzungen können von Angreifern zum Diebstahl von Anmeldedaten verwendet werden. |
| Entsprechende Produkte |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Hardware-Sicherheitsschlüssel für Administratoren erzwingen
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Stellen Sie Powerusern oder Organisationsadministratoren nach Möglichkeit Hardwaresicherheitsschlüssel als zweiten Faktor zur Verfügung. Super Admin-Konten sind die wertvollsten Ziele für ausgeklügelte Angriffe. Hardware-Sicherheitsschlüssel bieten ein hohes Maß an Schutz, da sie phishing-resistent sind. Hardware-Sicherheitsschlüssel sind die bestmögliche Verteidigung gegen Kontoübernahmen für Ihre wichtigsten Administratoren und bauen auf Ihrer Standardrichtlinie für die Bestätigung in zwei Schritten auf. |
| Entsprechende Produkte |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Identitätsbestätigung nach der Einmalanmeldung aktivieren
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Wenn Sie einen externen Identitätsanbieter verwenden, richten Sie die Post-SSO-Prüfung ein. Aktivieren Sie eine zusätzliche Steuerungsebene, die auf der Risikoanalyse für das Google-Log-in basiert. Nachdem Sie diese Einstellung angewendet haben, können Nutzer bei der Anmeldung zusätzliche risikoabhängige Identitätsbestätigungen sehen, wenn Google der Meinung ist, dass eine Nutzeranmeldung verdächtig ist. |
| Entsprechende Produkte |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Principal Access Boundary-Richtlinien aktivieren
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Aktivieren Sie Principal Access Boundary-Richtlinien (PAB), um den Zugriff von Identitäten einzuschränken und sich vor Phishing und Daten-Exfiltration zu schützen. Aktivieren Sie eine PAB-Richtlinie für die Organisation, um externe Phishing-Angriffe zu vermeiden. PABs verbessern die Sicherheit, indem sie das Ausmaß eines Angriffs mit einer kompromittierten Identität verringern. Außerdem tragen sie dazu bei, externe Phishing- und andere Exfiltrationsangriffe zu verhindern. |
| Entsprechende Produkte |
IAM |
| Pfad | iam.googleapis.com/PrincipalAccessBoundaryPolicy |
| Operator | Ist festgelegt |
| Typ | String |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Tags implementieren, um IAM- und Organisationsrichtlinien effizient zuzuweisen
| Google-Einstellungs-ID | IAM-CO-6.1 |
|---|---|
| Implementierung | Empfohlen |
| Beschreibung | Mit Tags können Sie Annotationen für Ressourcen erstellen und in einigen Fällen Richtlinien je nachdem, ob eine Ressource ein bestimmtes Tag hat, zulassen oder ablehnen. Tags und die bedingte Erzwingung von Richtlinien ermöglichen Ihnen, die Ressourcenhierarchie genau zu steuern. |
| Entsprechende Produkte |
Resource Manager |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
IAM-Änderungen mit hohem Risiko prüfen
| Google-Einstellungs-ID | IAM-CO-7.1 |
|---|---|
| Implementierung | Empfohlen |
| Beschreibung | Mit Cloud-Audit-Logs können Sie Aktivitäten mit hohem Risiko überwachen, z. B. wenn Konten Rollen mit hohem Risiko wie „Administrator der Organisation“ und „Super Admin“ zugewiesen werden. Richten Sie Benachrichtigungen für diese Art von Aktivität ein. |
| Entsprechende Produkte |
Cloud-Audit-Logs |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Zugriff auf Cloud Shell für von Cloud Identity verwaltete Nutzerkonten blockieren
| Google-Einstellungs-ID | CI-CO-6.8 |
|---|---|
| Implementierung | Empfohlen |
| Beschreibung | Um zu umfangreichen Zugriff auf Cloud de Confiance by S3NSzu vermeiden, können Sie den Zugriff auf Cloud Shell für von Cloud Identity verwaltete Nutzerkonten blockieren. |
| Entsprechende Produkte |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Kontextsensitiven Zugriff für Google-Konsolen konfigurieren
| Google-Einstellungs-ID | IAM-CO-8.2 |
|---|---|
| Implementierung | Optional |
| Beschreibung | Mit dem kontextsensitiven Zugriff können Sie detaillierte Sicherheitsrichtlinien zur Zugriffssteuerung für Anwendungen auf Grundlage von Attributen wie Nutzer-ID, Standort, Sicherheitsstatus des Geräts oder IP-Adresse erstellen. Wir empfehlen, den Zugriff auf die Cloud de Confiance -Konsole (https://console.cloud.google.com/) und die Google Admin-Konsole (https://admin.cloud.google.com) mit dem kontextsensitiven Zugriff einzuschränken. |
| Entsprechende Produkte |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Eigenständige Kontowiederherstellung für Super Admin-Konten blockieren
| Google-Einstellungs-ID | CI-CO-6.3 |
|---|---|
| Implementierung | Optional |
| Beschreibung | Ein Angreifer könnte das Verfahren zur Selbstwiederherstellung verwenden, um Super Admin-Passwörter zurückzusetzen. Um die Sicherheitsrisiken zu minimieren, die mit SS7-Angriffen (Signaling System 7), SIM-Swap-Angriffen oder anderen Phishing-Angriffen verbunden sind, empfehlen wir, diese Funktion zu deaktivieren. Wenn Sie die Funktion deaktivieren möchten, rufen Sie in der Admin-Konsole die Einstellungen zur Kontowiederherstellung auf.
|
| Entsprechende Produkte |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Nicht verwendete Google-Dienste deaktivieren
| Google-Einstellungs-ID | CI-CO-6.6 |
|---|---|
| Implementierung | Optional |
| Beschreibung | Im Allgemeinen empfehlen wir, die Dienste zu deaktivieren, die Sie nicht verwenden.
|
| Entsprechende Produkte |
Cloud Identity |
| Pfad | http://admin.google.com > Apps > Additional Google Services |
| Operator | Einstellung |
| Wert |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Organisation
Dieser Abschnitt enthält die Best Practices und Richtlinien für den Organisationsrichtliniendienst und Resource Manager beim Ausführen von Arbeitslasten auf Cloud de Confiance by S3NS.
Von Google-APIs unterstützte TLS-Versionen einschränken
| Google-Einstellungs-ID | COM-CO-1.1 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Cloud de Confiance unterstützt mehrere TLS-Protokollversionen. Um Compliance-Anforderungen zu erfüllen, sollten Sie Handshake-Anfragen von Clients, die ältere TLS-Versionen verwenden, ablehnen. Verwenden Sie zum Konfigurieren dieses Steuerelements die Einschränkung der Organisationsrichtlinie TLS-Versionen einschränken ( Aufgrund der Auswertung der Hierarchie von Organisationsrichtlinien gilt die Einschränkung der TLS-Version für den angegebenen Ressourcenknoten und alle zugehörigen Ordner und Projekte (untergeordnete Elemente). Wenn Sie beispielsweise die TLS-Version 1.0 für eine Organisation ablehnen, wird diese auch für alle untergeordneten Elemente abgelehnt, die von dieser Organisation abstammen. Sie können die übernommene TLS-Versionsbeschränkung überschreiben, indem Sie die Organisationsrichtlinie für eine untergeordnete Ressource aktualisieren. Wenn in Ihrer Organisationsrichtlinie beispielsweise TLS 1.0 auf Organisationsebene abgelehnt wird, können Sie die Einschränkung für einen untergeordneten Ordner entfernen, indem Sie eine separate Organisationsrichtlinie für diesen Ordner festlegen. Wenn der Ordner untergeordnete Elemente hat, wird die Richtlinie des Ordners aufgrund der Richtlinienübernahme auch auf jede untergeordnete Ressource angewendet. Wenn Sie die TLS-Version weiter auf TLS 1.3 beschränken möchten, können Sie diese Richtlinie so festlegen, dass auch TLS-Version 1.2 eingeschränkt wird. Sie müssen diese Steuerung in Anwendungen implementieren, die Sie in Cloud de Confiance by S3NShosten. Legen Sie beispielsweise auf Organisationsebene Folgendes fest:
|
| Entsprechende Produkte |
Alle; werden vom Organisationsrichtliniendienst verwaltet |
| Pfad | gcp.restrictTLSVersion |
| Operator | == |
| Wert |
|
| Typ | String |
| Compliance Manager-Einstellungs-ID | RESTRICT_LEGACY_TLS_VERSIONS |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Autorisierte Hauptkonten einschränken
| Google-Einstellungs-ID | COM-CO-4.1 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Sorgen Sie dafür, dass nur Identitäten aus Ihrer Organisation in Ihrer Cloud de Confiance by S3NS -Umgebung zugelassen sind. Verwenden Sie die Organisationsrichtlinieneinschränkung Domaineingeschränkte Freigabe ( Diese Einschränkungen helfen, zu verhindern, dass Mitarbeiter Zugriff auf externe Konten außerhalb der Kontrolle Ihrer Organisation gewähren, die nicht Ihren Sicherheitsrichtlinien für die Multi-Faktor-Authentifizierung (MFA) oder die Passwortverwaltung entsprechen. Diese Einstellung ist wichtig, um unbefugten Zugriff zu verhindern und dafür zu sorgen, dass nur vertrauenswürdige, verwaltete Unternehmensidentitäten verwendet werden können. |
| Entsprechende Produkte |
|
| Pfad | constraints/iam.allowedPolicyMemberDomains |
| Operator | Ist |
| Wert |
|
| Typ | Liste |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Nutzung von Ressourcendiensten einschränken
| Google-Einstellungs-ID | RM-CO-4.1 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Die Einschränkung Mit dieser Einschränkung kann Ihre Organisation eine Zulassungsliste mit genehmigten Diensten erstellen, um zu verhindern, dass Mitarbeiter nicht geprüfte Dienste verwenden. |
| Entsprechende Produkte |
|
| Pfad | constraints/gcp.restrictServiceUsage |
| Operator | Ist |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Ressourcenstandorte einschränken
| Google-Einstellungs-ID | RM-CO-4.2 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Die Einschränkung „Beschränkung des Ressourcenstandorts“ ( Mit dieser Einschränkung kann Ihre Organisation erzwingen, dass Ihre Ressourcen und Daten nur in bestimmten, genehmigten geografischen Regionen erstellt und gespeichert werden. |
| Entsprechende Produkte |
|
| Pfad | constraints/gcp.resourceLocations |
| Operator | Ist |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Netzwerk
Dieser Abschnitt enthält die Best Practices und Richtlinien für Virtual Private Cloud (VPC) und Cloud DNS beim Ausführen von Arbeitslasten auf Cloud de Confiance by S3NS.
Erstellen des Standardnetzwerks blockieren
| Google-Einstellungs-ID | VPC-CO-6.1 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Die boolesche Einschränkung Das Standardnetzwerk ist ein VPC-Netzwerk (Virtual Private Cloud) im automatischen Modus mit vorkonfigurierten IPv4-Firewallregeln, die interne Kommunikationspfade zulassen. Im Allgemeinen ist diese Einrichtung keine empfohlene Sicherheitskonfiguration für Produktionsumgebungen. |
| Entsprechende Produkte |
|
| Pfad | constraints/compute.skipDefaultNetworkCreation |
| Wert |
|
| Typ | Boolesch |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
DNS-Sicherheitserweiterungen aktivieren
| Google-Einstellungs-ID | DNS-CO-6.1 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | DNSSEC (Domain Name System Security Extensions) ist ein Feature des Domain Name System (DNS), mit dem Antworten auf Domainnamenabfragen authentifiziert werden können. Sie bietet keinen Datenschutz für diese Suchvorgänge, verhindert jedoch, dass Angreifer die Antworten auf DNS-Anfragen verfälschen oder manipulieren. Aktivieren Sie DNSSEC in Cloud DNS an den folgenden Stellen:
|
| Entsprechende Produkte |
Cloud DNS |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Privaten Google-Zugriff aktivieren
| Google-Einstellungs-ID | GCVE-CO-1.5 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Aktivieren Sie den privaten Google-Zugriff für alle Subnetze. Wenn Sie den privaten Google-Zugriff aktivieren, können Dienste auf Cloud de Confiance by S3NS Dienste ohne externe IP-Adressen zugreifen. Der privater Google-Zugriff ist standardmäßig nicht für neue Ressourcen aktiviert und muss explizit aktiviert werden. |
| Entsprechende Produkte |
Virtual Private Cloud (VPC) |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Zugriff auf private Dienste für Dienstersteller aktivieren
| Google-Einstellungs-ID | GCVE-CO-1.6 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Aktivieren Sie den Zugriff auf private Dienste, um ein privates Netzwerk zwischen Cloud de Confiance by S3NS Diensten wie Google Cloud VMware Engine-Legacy-Netzwerken und Dienstanbietern wie Cloud SQL zu erstellen. Mit dem privaten Dienstzugriff lässt sich vermeiden, dass Netzwerkverbindungen für Arbeitslasten unnötig dem Internet ausgesetzt werden. |
| Entsprechende Produkte |
Virtual Private Cloud (VPC) |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
IPv6 deaktivieren, sofern nicht erforderlich
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Deaktivieren Sie das Erstellen externer IPv6-Subnetze, sofern dies nicht ausdrücklich erforderlich ist. Um die Angriffsfläche zu verringern, sollten Sie IPv6 auf Systemen und in Netzwerken deaktivieren, in denen es nicht aktiv verwaltet wird oder nicht erforderlich ist. Viele Organisationen haben ausgereifte Sicherheitskontrollen und Monitoring für IPv4, aber ihre Tools und Richtlinien erstrecken sich möglicherweise nicht vollständig auf IPv6, was zu einem erheblichen blinden Fleck für Bedrohungen führen kann. Der Betrieb eines Dual-Stack-Netzwerks führt auch zu einer erhöhten Komplexität, da für die effektive Verwaltung und Fehlerbehebung spezielle Konfigurationen und Fachkenntnisse erforderlich sind. Wenn Sie also keinen klaren geschäftlichen Grund für IPv6 haben, kann das Deaktivieren die Umgebung vereinfachen und dafür sorgen, dass der gesamte Traffic einheitlich über Ihre etablierte IPv4-Sicherheitskonfiguration gefiltert wird. |
| Entsprechende Produkte |
Compute Engine |
| Pfad | constraints/compute.disableVpcExternalIpv6 |
| Operator | Ist |
| Wert |
|
| Typ | Boolesch |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Ausgehenden Traffic beschränken
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Beschränken Sie den Zugriff auf externe Quellen, da standardmäßig der gesamte Zugriff nach außen zulässig ist. Legen Sie bestimmte Firewallregeln für beabsichtigte Muster von ausgehendem Traffic fest. Standardmäßig dürfen Systeme oft ausgehende Verbindungen zum Internet herstellen, was als Sicherheitsrisiko angesehen werden kann. Eine Richtlinie vom Typ „Standardmäßig ablehnen“ blockiert ausgehenden Traffic und erfordert, dass spezifische Regeln nur für die bekannten, erforderlichen Ziele erstellt werden. |
| Entsprechende Produkte |
Cloud Next Generation Firewall |
| Pfad | cloudasset.assets/assetType |
| Operator | == |
| Wert |
|
| Typ | String |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Eingehenden Zugriff auf SSH- und RDP-Ports einschränken
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Beschränken Sie den eingehenden Zugriff nach Möglichkeit nur auf bestimmte Ressourcen und Ressourcenbereiche. Wenn Identity-Aware Proxy (IAP) konfiguriert ist, legen Sie für eingehende SSH- und RDP-Firewallregeln (Remote Desktop Protocol) IAP-IP-Bereiche als Quellen fest. Durchlässige SSH- und RDP-Firewallregeln ermöglichen Brute-Force-Angriffe. Verwenden Sie stattdessen Cloud de Confiance by S3NS Identity-Aware Proxys (z. B. IAP) für SSH und RDP. |
| Entsprechende Produkte |
IAP |
| Pfad | cloudasset.assets/assetType |
| Operator | == |
| Wert |
|
| Typ | String |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
VPC Service Controls aktivieren
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Aktivieren Sie VPC Service Controls als zusätzliche Schutzebene, um potenziellen Datenverlust zu verhindern. Mit VPC Service Controls können Sie Daten-Exfiltration verhindern, indem Sie Isolationsperimeter für Ihre Cloud-Ressourcen, sensiblen Daten und Netzwerke erstellen. Der Dienstperimeter schränkt den Nutzen kompromittierter Anmeldedaten ein, da der Perimeter Anfragen an eingeschränkte Dienste blockiert, die von Endpunkten stammen, die von Angreifern kontrolliert werden und sich außerhalb Ihrer Umgebung befinden. |
| Entsprechende Produkte |
VPC Service Controls |
| Pfad | accesscontextmanager.accessPolicies.servicePerimeters/perimeterType |
| Operator | == |
| Wert |
|
| Typ | String |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Cloud Armor-Richtlinien verwenden
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Verwenden Sie für Anwendungen, die hinter Cloud Load Balancing bereitgestellt werden, Google Cloud Armor-Standardrichtlinien oder konfigurieren Sie eigene Richtlinien, um externen Anwendungen oder Diensten Netzwerkschutz von Layer 3 bis Layer 7 hinzuzufügen. Cloud Armor-Sicherheitsrichtlinien schützen Ihre Anwendung durch Layer 7-Filterung. Diese Richtlinien prüfen auch eingehende Anfragen auf häufige Webangriffe oder andere Layer 7-Attribute, um Traffic zu blockieren, bevor er Ihre Back-End-Dienste mit Load-Balancing oder Ihre Back-End-Buckets erreicht. Jede Sicherheitsrichtlinie besteht aus einer Reihe von Regeln, die Attribute von Layer 3 bis Layer 7 enthalten. |
| Entsprechende Produkte |
Cloud Armor |
| Pfad | compute.backendServices/securityPolicy |
| Operator | Ist festgelegt |
| Typ | String |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Dienstbereichseinschränkung in Access Context Manager-Zugriffsrichtlinien aktivieren
| Google-Einstellungs-ID | COM-CO-8.1 |
|---|---|
| Implementierung | Empfohlen für Anwendungsfälle für generative KI |
| Beschreibung | Prüfen Sie für jeden Dienstperimeter in der Cloud de Confiance Konsole, ob der Perimetertyp auf „Regulär“ festgelegt ist. |
| Entsprechende Produkte |
|
| Pfad | accesscontextmanager.accessPolicies.servicePerimeters/perimeterType |
| Operator | == |
| Wert |
|
| Typ | String |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
APIs in VPC Service Controls-Dienstperimetern einschränken
| Google-Einstellungs-ID | COM-CO-8.2 |
|---|---|
| Implementierung | Empfohlen für Anwendungsfälle für generative KI |
| Beschreibung | Verwenden Sie Access Context Manager, um für jeden Dienstperimeter zu bestätigen, dass der Perimeter die API schützt. |
| Entsprechende Produkte |
|
| Pfad | accesscontextmanager.accessPolicies.servicePerimeters/status.restrictedServices |
| Operator | Anyof |
| Wert |
|
| Typ | String |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Zonales DNS verwenden
| Google-Einstellungs-ID | DNS-CO-4.1 |
|---|---|
| Implementierung | Optional |
| Beschreibung | Mit der booleschen Einschränkung |
| Entsprechende Produkte |
Unternehmensrichtlinien |
| Pfad | constraints/compute.setNewProjectDefaultToZonalDNSOnly |
| Operator | = |
| Wert |
|
| Typ | Boolesch |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Logging, Monitoring, Benachrichtigungen
Dieser Abschnitt enthält die Best Practices und Richtlinien für das Logging und die Überwachung von Diensten in Cloud de Confiance by S3NS sowie das Konfigurieren von Benachrichtigungen für Dienste wie Cloud Billing.
Audit-Logs aus Cloud Identity freigeben
| Google-Einstellungs-ID | CI-CO-6.5 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Wenn Sie Cloud Identity verwenden, geben Sie Audit-Logs aus Cloud Identity für Cloud de Confiance by S3NSfrei. Audit-Logs zur Administratoraktivität von Google Workspace oder Cloud Identity werden normalerweise in der Google Admin-Konsole verwaltet und angezeigt, separat von Ihren Logs in der Cloud de Confiance -Umgebung. Diese Logs enthalten Informationen, die für Ihre Cloud de Confiance Umgebung relevant sind, z. B. Nutzeranmeldeereignisse. Wir empfehlen, Cloud Identity-Audit-Logs für Ihre Cloud de Confiance -Umgebung freizugeben, um Logs aus allen Quellen zentral zu verwalten. |
| Entsprechende Produkte |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Audit-Logs verwenden
| Google-Einstellungs-ID | COM-CO-7.3 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Cloud de Confiance -Dienste schreiben Audit-Logeinträge, um die Frage zu beantworten, wer was, wo und wann mit Cloud de Confiance -Ressourcen getan hat. Aktivieren Sie das Audit-Logging auf Organisationsebene. Sie können das Logging mit der Pipeline konfigurieren, die Sie zum Einrichten der Cloud de Confiance -Organisation verwenden. |
| Entsprechende Produkte |
Cloud-Audit-Logs |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
VPC-Flusslogs aktivieren
| Google-Einstellungs-ID | COM-CO-7.4 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | In VPC-Flusslogs wird eine Stichprobe von Netzwerkflüssen erfasst, die von VM-Instanzen gesendet und empfangen werden, darunter Instanzen, die als Google Kubernetes Engine-Knoten (GKE) verwendet werden. Die Stichprobe beträgt in der Regel 50% oder weniger der VPC-Netzwerkflüsse. Wenn Sie VPC-Fluss-Logs aktivieren, aktivieren Sie Logging für alle VMs in einem Subnetz. Sie können jedoch die Menge der in Logging geschriebenen Informationen reduzieren. Aktivieren Sie VPC-Flusslogs für jedes VPC-Subnetz. Sie können die Protokollierung mit einer Pipeline konfigurieren, mit der Sie ein Projekt erstellen. |
| Entsprechende Produkte |
Virtual Private Cloud |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Firewallregel-Logging aktivieren
| Google-Einstellungs-ID | COM-CO-7.5 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Standardmäßig werden durch Firewallregeln nicht automatisch Logs geschrieben.Mit dem Logging von Firewallregeln können Sie die Auswirkungen Ihrer Firewallregeln überwachen, überprüfen und analysieren. Sie können beispielsweise feststellen, ob eine Firewallregel, die Traffic abweisen soll, wie vorgesehen funktioniert. Logging ist auch nützlich, wenn Sie ermitteln möchten, wie viele Verbindungen von einer bestimmten Firewallregel betroffen sind. Aktivieren Sie das Logging für jede Firewallregel. Sie können das Logging mit einer Pipeline konfigurieren, mit der Sie eine Firewall erstellen. |
| Entsprechende Produkte |
Virtual Private Cloud |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Prüfung von Administratoraktivitäten aktivieren
| Google-Einstellungs-ID | COM-CO-7.1 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Standardmäßig wird mit Cloud de Confiance die Prüfung wichtiger Administratoraktivitäten für privilegierte Konten aktiviert und niemand kann sie deaktivieren. Audit-Logs zur Administratoraktivität enthalten Logeinträge für API-Aufrufe oder andere Aktionen, die die Konfiguration oder Metadaten von Ressourcen ändern. In diesen Logs wird beispielsweise aufgezeichnet, wann Nutzer VM-Instanzen erstellen oder IAM-Berechtigungen ändern. Audit-Logs zu Administratoraktivitäten enthalten Logeinträge zum Erstellen, Ändern und Löschen von Einschränkungen für Organisationsrichtlinien auf Organisations-, Ordner- und Projektebene. Diese Logs werden immer geschrieben. Sie können sie nicht konfigurieren, ausschließen oder deaktivieren. Selbst wenn Sie die Cloud Logging API deaktivieren, werden weiterhin Audit-Logs zur Administratoraktivität generiert. Wir empfehlen Ihrer Organisation, Richtlinien und Verfahren einzurichten, um diese Benachrichtigungen zu überwachen und gemäß Ihren Unternehmensrichtlinien für den Zugriff Aktionen oder Benachrichtigungen zu generieren, um Administratoraktivitäten zu überwachen. |
| Entsprechende Produkte |
Cloud-Audit-Logs |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Sicherheitsbulletins abonnieren
| Google-Einstellungs-ID | GKE-CO-1.8 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Abonnieren Sie die Benachrichtigungen zu Sicherheitsbulletins für Cloud de Confiance by S3NS -Dienste, um Benachrichtigungen zu Sicherheitslücken und Risikominderungsmaßnahmen zu erhalten. Wenn Sicherheitsbulletins verfügbar sind, die für Ihren Cloud de Confiance by S3NS -Dienst (z. B. GKE) relevant sind, kann der Dienst Benachrichtigungen zu diesen Ereignissen als Nachrichten in von Ihnen konfigurierten Pub/Sub-Themen veröffentlichen. Sie können diese Benachrichtigungen für ein Pub/Sub-Abo empfangen, Dienste von Drittanbietern einbinden und nach den Benachrichtigungstypen filtern, die Sie erhalten möchten. |
| Entsprechende Produkte |
Alle |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Gruppen für wichtige Kontakte konfigurieren
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Konfigurieren Sie wichtige Kontakte, damit wichtige Benachrichtigungen an einen überwachten Gruppenalias oder eine Mailingliste gesendet werden. Google sendet wichtige Sicherheitswarnungen (z. B. bei einem potenziellen Kontodiebstahl) an die E‑Mail-Adressen, die als wichtige Kontakte aufgeführt sind. Wenn die E-Mail-Adresse einer Person für diesen Zweck verwendet wird, wird die Benachrichtigung verpasst, wenn diese Person nicht verfügbar ist oder das Unternehmen verlassen hat.Wenn Sie eine überwachte Gruppen-E-Mail-Adresse verwenden, werden diese zeitkritischen Benachrichtigungen an ein aktives Team gesendet, das schnell reagieren kann. |
| Entsprechende Produkte |
Resource Manager |
| Pfad | essentialcontacts.googleapis.com/Contact |
| Operator | Ist festgelegt |
| Typ | String |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Abrechnungsanomalien im Blick behalten
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Mit der Funktion für Abrechnungsanomalien in Cloud Billing können Sie alle Spitzen oder Abweichungen bei den erwarteten Ausgaben im Blick behalten. Ein plötzlicher, unerwarteter Anstieg der Cloud-Rechnung ist ein wichtiger Indikator für eine Sicherheitsverletzung. Unerwartete Abrechnungsspitzen werden manchmal durch Angreifer verursacht, die sich Zugriff verschafft haben und Ressourcen für unbefugte Aktivitäten nutzen. Wenn Sie die Erkennung von Abrechnungsanomalien aktivieren, erhalten Sie ein wichtiges Frühwarnsystem, mit dem Sie verdächtige Aktivitäten automatisch kennzeichnen können. |
| Entsprechende Produkte |
Cloud Billing |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Logs zur langfristigen Speicherung in eine Logsenke exportieren
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Erstellen Sie eine Logsenke, um Logs für Ihre Sicherheitsmonitoring-Lösung zu exportieren, und legen Sie den Aufbewahrungszeitraum entsprechend Ihren Anforderungen fest. Die standardmäßigen Aufbewahrungsfristen für Logs sind oft nicht lang genug, um die Anforderungen von 1 bis 7 Jahren zu erfüllen, die durch Compliance-Vorschriften wie PCI oder HIPAA vorgeschrieben sind. Das Erstellen einer Logsenke zum Exportieren von Logs an einen Ort für die Langzeitspeicherung ist unerlässlich, um bestimmte rechtliche und regulatorische Verpflichtungen zu erfüllen. Mit Logsenken können Sie Protokolle auch an ein zentrales Sicherheitsmonitoring-System senden, um erweiterte Bedrohungen zu erkennen. |
| Entsprechende Produkte |
Cloud Logging |
| Pfad | logging.googleapis.com/LogSink/disabled |
| Operator | Ist |
| Wert |
|
| Typ | Boolesch |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Audit-Logs zum Datenzugriff aktivieren
| Google-Einstellungs-ID | COM-CO-7.2 |
|---|---|
| Implementierung | Für bestimmte Anwendungsfälle empfohlen |
| Beschreibung | Wenn Sie nachverfolgen möchten, wer auf Daten in Ihrer Cloud de Confiance by S3NS -Umgebung zugegriffen hat, aktivieren Sie Audit-Logs zum Datenzugriff. In diesen Logs werden API-Aufrufe aufgezeichnet, mit denen Nutzerdaten gelesen, erstellt oder geändert werden, sowie API-Aufrufe, mit denen Ressourcenkonfigurationen gelesen werden. Wir empfehlen dringend, Audit-Logs zum Datenzugriff für generative KI-Modelle und sensible Daten zu aktivieren, damit Sie prüfen können, wer die Informationen gelesen hat. Wenn Sie Audit-Logs zum Datenzugriff verwenden möchten, müssen Sie Ihre eigene benutzerdefinierte Erkennungslogik für bestimmte Aktivitäten wie Super Admin-Anmeldungen einrichten. Audit-Logs zum Datenzugriff können sehr groß sein. Durch Aktivieren von Datenzugriffslogs können Gebühren für die zusätzliche Lognutzung im Cloud de Confiance -Projekt anfallen. |
| Entsprechende Produkte |
Cloud-Audit-Logs |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Abrechnungsbenachrichtigungen konfigurieren
| Google-Einstellungs-ID | CB-CO-6.1 |
|---|---|
| Implementierung | Empfohlen |
| Beschreibung | Sie können Cloud Billing-Budgets erstellen, um alle Ihre Cloud de Confiance by S3NS Gebühren zentral zu überwachen. Damit verhindern Sie, dass Ihre Kosten den Rahmen sprengen. Nachdem Sie einen Budgetbetrag festgelegt haben, legen Sie projektbezogene Schwellenwertregelungen für Budgetbenachrichtigungen fest, um E-Mail-Benachrichtigungen auszulösen. Mithilfe dieser Benachrichtigungen können Sie Ihre Ausgaben im Verhältnis zu Ihrem Budget im Blick behalten. Mit Cloud Billing-Budgets können Sie auch die Antworten zur Kostenkontrolle automatisieren. |
| Entsprechende Produkte |
Cloud Billing |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Access Transparency-Logs aktivieren
| Google-Einstellungs-ID | COM-CO-7.7 |
|---|---|
| Implementierung | Optional |
| Beschreibung | In Standard-Logs sehen Sie, was die Nutzer Ihrer Organisation tun. In Access Transparency-Logs sehen Sie, was Google-Supportmitarbeiter tun, wenn sie auf das Konto zugreifen. Dieser Zugriff erfolgt in der Regel nur als Reaktion auf eine Supportanfrage. Access Transparency-Logs bieten einen vollständigen und überprüfbaren Audit-Trail für alle Zugriffe, was für die Einhaltung strenger Compliance- und Data Governance-Anforderungen unerlässlich ist. Sie können Access Transparency auf Organisationsebene aktivieren. |
| Entsprechende Produkte |
Access Transparency |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Abrechnungsdaten für detaillierte Analysen exportieren
| Google-Einstellungs-ID | CB-CO-6.2 |
|---|---|
| Implementierung | Optional |
| Beschreibung | Für weitere Abrechnungsanalysen können Sie Cloud de Confiance by S3NS Abrechnungsdaten in BigQuery oder eine JSON-Datei exportieren. Sie können beispielsweise detaillierte Daten wie Nutzung, Kostenschätzungen und Preise den ganzen Tag automatisch in ein von Ihnen festgelegtes BigQuery-Dataset exportieren. Anschließend haben Sie die Möglichkeit, über BigQuery auf Ihre Cloud Billing-Daten zuzugreifen und eine detaillierte Analyse auszuführen oder mit einem Tool wie Data Studio Daten zu visualisieren. |
| Entsprechende Produkte |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Schlüssel- und Secret-Verwaltung
Dieser Abschnitt enthält die Best Practices und Richtlinien für Cloud Key Management Service und Secret Manager beim Ausführen von Arbeitslasten aufCloud de Confiance by S3NS.
Daten im Ruhezustand in Cloud de Confianceverschlüsseln
| Google-Einstellungs-ID | COM-CO-2.1 |
|---|---|
| Implementierung | Erforderlich (Standardeinstellung) |
| Beschreibung | Alle Daten in Cloud de Confiance werden standardmäßig mit NIST-genehmigten Algorithmen verschlüsselt. |
| Entsprechende Produkte |
Cloud de Confiance Standard |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
NIST-genehmigte Algorithmen für die Ver- und Entschlüsselung verwenden
| Google-Einstellungs-ID | COM-CO-2.4 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Achten Sie darauf, dass im Cloud Key Management Service (Cloud KMS) nur NIST-genehmigte Algorithmen zum Speichern vertraulicher Schlüssel in der Umgebung verwendet werden. Diese Steuerung sorgt für eine sichere Schlüsselverwendung, indem nur NIST-genehmigte Algorithmen und Sicherheitsmaßnahmen verwendet werden. Das Feld Entfernen Sie Algorithmen, die nicht den Richtlinien Ihrer Organisation entsprechen. |
| Entsprechende Produkte |
Cloud KMS |
| Pfad | cloudkms.projects.locations.keyRings.cryptoKeys/versionTemplate.algorithm |
| Operator | in |
| Wert |
|
| Typ | String |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Zweck für Cloud KMS-Schlüssel festlegen
| Google-Einstellungs-ID | COM-CO-2.5 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Legen Sie den Zweck für Cloud KMS-Schlüssel auf |
| Entsprechende Produkte |
Cloud KMS |
| Pfad | cloudkms.projects.locations.keyRings.cryptoKeys/purpose |
| Operator | == |
| Wert |
|
| Typ | String |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Sorgen Sie dafür, dass die CMEK-Einstellungen für sichere BigQuery-Data-Warehouses geeignet sind
| Google-Einstellungs-ID | COM-CO-2.6 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Das Schutzniveau gibt an, wie kryptografische Vorgänge ausgeführt werden. Nachdem Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel (Customer-Managed Encryption Key, CMEK) erstellt haben, können Sie das Schutzniveau nicht mehr ändern. Folgende Schutzniveaus werden unterstützt:
|
| Entsprechende Produkte |
|
| Pfad | cloudkms.projects.locations.keyRings.cryptoKeys/primary.protectionLevel |
| Operator | in |
| Wert |
|
| Typ | String |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Verschlüsselungsschlüssel alle 90 Tage rotieren
| Google-Einstellungs-ID | COM-CO-2.7 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Achten Sie darauf, dass der Rotationszeitraum Ihrer Cloud KMS-Schlüssel auf 90 Tage festgelegt ist. Es empfiehlt sich, Ihre Sicherheitsschlüssel in regelmäßigen Abständen zu rotieren. Mit dieser Steuerung wird die Schlüsselrotation für Schlüssel erzwungen, die mit HSM-Diensten erstellt werden. Wenn Sie diesen Rotationszeitraum erstellen, sollten Sie auch geeignete Richtlinien und Verfahren für die sichere Erstellung, Löschung und Änderung von Schlüsselmaterial erstellen, damit Sie Ihre Informationen schützen und die Verfügbarkeit sicherstellen können. Dieser Zeitraum muss den Unternehmensrichtlinien für die Schlüsselrotation entsprechen. |
| Entsprechende Produkte |
Cloud KMS |
| Pfad | cloudkms.projects.locations.keyRings.cryptoKeys/rotationPeriod |
| Operator | <= |
| Wert |
|
| Typ | int32 |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Automatische Secret-Rotation einrichten
| Google-Einstellungs-ID | SM-CO-6.2 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Rotieren Sie Secrets automatisch und halten Sie Notfallrotationsverfahren im Fall eines Übergriffs bereit.
|
| Entsprechende Produkte |
Secret Manager |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Verwaltete Verschlüsselungsstrategie erstellen
| Implementierung | Erforderlich |
|---|---|
| Beschreibung | Erstellen Sie eine Verschlüsselungsverwaltungsstrategie mit Cloud Key Management Service (Cloud KMS) mit Autokey, Cloud External Key Manager (Cloud EKM) oder beidem. Mit dieser Strategie kann Ihre Organisation ihre eigenen Verschlüsselungsschlüssel verwenden und verwalten, um Ihre spezifischen Anforderungen zu erfüllen. Wenn Sie Ihre eigenen Verschlüsselungsschlüssel verwenden, haben Sie eine detaillierte, prüfbare Kontrolle über den Datenzugriff. Sie können den Zugriff auf Daten sofort blockieren, indem Sie den Schlüssel deaktivieren. |
| Entsprechende Produkte |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
CMEK für Pub/Sub-Nachrichten verwenden
| Google-Einstellungs-ID | PS-CO-6.1 |
|---|---|
| Implementierung | Empfohlen |
| Beschreibung | Wenn Sie kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) für Pub/Sub aktivieren, haben Sie mehr Kontrolle über die Verschlüsselungsschlüssel, die Pub/Sub zum Schutz Ihrer Nachrichten verwendet. Auf der Anwendungsebene verschlüsselt Pub/Sub eingehende Nachrichten einzeln, sobald sie empfangen werden. Bevor Pub/Sub Nachrichten für ein Abo veröffentlicht, werden sie mit dem neuesten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) verschlüsselt, der für das Thema generiert wurde. Pub/Sub entschlüsselt die Nachrichten kurz vor der Zustellung an Abonnenten.
Pub/Sub verwendet ein Cloud de Confiance by S3NS -Dienstkonto für den Zugriff auf Cloud Key Management Service. Das Dienstkonto wird für jedes Projekt intern von Pub/Sub verwaltet und ist in Ihrer Liste der Dienstkonten nicht sichtbar.
|
| Entsprechende Produkte |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Speicherort von kundenverwalteten Verschlüsselungsschlüsseln einschränken
| Google-Einstellungs-ID | COM-CO-2.2 |
|---|---|
| Implementierung | Empfohlen |
| Beschreibung | Mit der Einschränkung für Organisationsrichtlinien Einschränken, welche Projekte KMS-CryptoKeys für CMEK bereitstellen können ( Zum Ändern dieser Einschränkung benötigen Administratoren die IAM-Rolle Administrator für Organisationsrichtlinien ( Wenn Sie eine zweite Schutzebene hinzufügen möchten, z. B. „Bring Your Own Key“, ändern Sie diese Einschränkung so, dass sie die Schlüsselnamen des aktivierten CMEK darstellt. Produktspezifische Informationen:
|
| Entsprechende Produkte |
|
| Pfad | constraints/gcp.restrictCmekCryptoKeyProjects |
| Operator | notexists |
| Wert |
|
| Typ | String |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
CMEK für Cloud de Confiance -Dienste verwenden
| Google-Einstellungs-ID | COM-CO-2.3 |
|---|---|
| Implementierung | Empfohlen |
| Beschreibung | Wenn Sie mehr Kontrolle über Schlüsselvorgänge benötigen, als Google Cloud-powered encryption keys zulässt, können Sie kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs) verwenden. Diese Schlüssel werden mit Cloud KMS erstellt und verwaltet. Speichern Sie die Schlüssel als Softwareschlüssel, in einem HSM-Cluster oder in einem externen Schlüsselverwaltungssystem. Verschlüsselungs- und Entschlüsselungsraten für Cloud KMS unterliegen Kontingenten. Cloud Storage-Besonderheiten In Cloud Storage können Sie CMEKs für einzelne Objekte verwenden oder Ihre Cloud Storage-Buckets so konfigurieren, dass ein CMEK standardmäßig für alle neuen Objekte verwendet wird, die einem Bucket hinzugefügt werden. Wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel verwenden, wird ein Objekt von Cloud Storage zum Zeitpunkt der Speicherung in einem Bucket mit dem Schlüssel verschlüsselt. Das Objekt wird während der Speicherung automatisch von Cloud Storage entschlüsselt, wenn es für Anfragende bereitgestellt wird. Bei der Verwendung von CMEKs mit Cloud Storage gelten die folgenden Einschränkungen:
|
| Entsprechende Produkte |
|
| Pfad | constraints/gcp.restrictNonCmekServices |
| Operator | == |
| Wert |
|
| Typ | String |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Secrets automatisch replizieren
| Google-Einstellungs-ID | SM-CO-6.1 |
|---|---|
| Implementierung | Empfohlen |
| Beschreibung | Wählen Sie die automatische Replikationsrichtlinie aus, um Ihre Secrets zu replizieren, es sei denn, Ihre Arbeitslast hat bestimmte Standortanforderungen. Die automatische Richtlinie erfüllt die Verfügbarkeits- und Leistungsanforderungen der meisten Arbeitslasten. Wenn Ihre Arbeitslast bestimmte Standortanforderungen hat, können Sie mit der API die Standorte für die Replikationsrichtlinie auswählen, wenn Sie das Secret erstellen.
|
| Entsprechende Produkte |
Secret Manager |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Sicherheitsstatus und Analysen
Dieses Dokument enthält die Best Practices und Richtlinien für Security Command Center beim Ausführen von Arbeitslasten auf Cloud de Confiance by S3NS.
Security Command Center auf Organisationsebene aktivieren
| Google-Einstellungs-ID | SCC-CO-6.1 |
|---|---|
| Implementierung | Erforderlich |
| Beschreibung | Aktivieren Sie Security Command Center auf Organisationsebene, um zusätzliche Konfigurationen zu vermeiden. Wenn Sie Security Command Center nicht verwenden möchten, müssen Sie eine andere Lösung für das Statusmanagement aktivieren.
|
| Entsprechende Produkte |
Security Command Center |
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |
Benachrichtigungen über Security Command Center konfigurieren
| Google-Einstellungs-ID | SCC-CO-7.1 |
|---|---|
| Implementierung | Empfohlen |
| Beschreibung | Benachrichtigungen aus dem Security Command Center geben Ihnen Einblick in Ihre Organisation und informieren Sie über Probleme mit Ihren Cloud de Confiance by S3NS -Diensten, damit Sie entsprechende Maßnahmen ergreifen können. Sie können in Cloud Logging Benachrichtigungen einrichten, um Benachrichtigungen zu Fehlern zu erhalten, die mit dem Security Command Center-Dienst-Agent (
service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com) zusammenhängen. |
| Entsprechende Produkte |
|
| Zugehörige NIST-800-53-Kontrollen |
|
| Zugehörige Einstellungen für das CRI-Profil |
|
| Weitere Informationen |