Sichere Einstellungen für Unternehmen

Dieses Dokument enthält die Best Practices und Richtlinien für die Erstellung einer sicheren Unternehmensgrundlage für die Ausführung von Arbeitslasten, dieCloud de Confiance by S3NSverwenden. Eine sichere Unternehmensbasis umfasst Kontrollen für Folgendes:

Authentifizierung und Autorisierung

Dieser Abschnitt enthält die Best Practices und Richtlinien für Identity and Access Management (IAM) und Cloud Identity beim Ausführen von Arbeitslasten auf Cloud de Confiance by S3NS.

Automatische IAM-Zuweisungen für Standarddienstkonten deaktivieren

Google-Einstellungs-ID IAM-CO-4.1
Implementierung Erforderlich
Beschreibung

Verwenden Sie die boolesche Einschränkung automaticIamGrantsForDefaultServiceAccounts, um automatische Rollenzuweisungen zu deaktivieren, wenn Cloud de Confiance by S3NS Dienste automatisch Standarddienstkonten mit zu umfangreichen Rollen erstellen.

Standardmäßig werden automatisierten Konten in einigen Systemen zu weitreichende Berechtigungen erteilt, was ein potenzielles Sicherheitsrisiko darstellt. Wenn Sie diese Einschränkung beispielsweise nicht erzwingen und ein Standarddienstkonto erstellen, erhält das Dienstkonto automatisch die Rolle „Bearbeiter“ (roles/editor) für Ihr Projekt. Wenn ein Angreifer einen einzelnen Teil des Systems manipuliert, kann er die Kontrolle über das gesamte Projekt erlangen. Diese Einschränkung deaktiviert diese automatischen Berechtigungen auf hoher Ebene und erzwingt einen sichereren, bewussten Ansatz, bei dem nur die minimal erforderlichen Berechtigungen gewährt werden.

Entsprechende Produkte
  • IAM
  • Organisationsrichtliniendienst
Pfad constraints/iam.automaticIamGrantsForDefaultServiceAccounts
Operator Ist
Wert

False

Typ Boolesch
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-17
  • AC-20
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Weitere Informationen

Erstellung externer Dienstkontoschlüssel blockieren

Google-Einstellungs-ID IAM-CO-4.2
Implementierung Erforderlich
Beschreibung

Mit der booleschen Einschränkung iam.disableServiceAccountKeyCreation können Sie verhindern, dass externe Dienstkontoschlüssel erstellt werden. Mit dieser Einschränkung können Sie die Verwendung von nicht verwalteten, langfristigen Anmeldedaten für Dienstkonten steuern. Wenn diese Einschränkung festgelegt ist, können Sie keine von Nutzern verwalteten Anmeldedaten für Dienstkonten in Projekten erstellen, die von der Einschränkung betroffen sind.

Entsprechende Produkte
  • Organisationsrichtliniendienst
  • IAM
Pfad constraints/iam.disableServiceAccountKeyCreation
Operator Ist
Wert

True

Typ Boolesch
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-17
  • AC-20
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Weitere Informationen

Hochladen von Dienstkontoschlüsseln blockieren

Google-Einstellungs-ID IAM-CO-4.3
Implementierung Erforderlich
Beschreibung

Mit der booleschen Einschränkung iam.disableServiceAccountKeyUpload können Sie das Hochladen externer öffentlicher Schlüssel in Dienstkonten deaktivieren. Wenn diese Einschränkung festgelegt ist, können Nutzer keine öffentlichen Schlüssel in Dienstkonten in Projekten hochladen, die von der Einschränkung betroffen sind.

Entsprechende Produkte
  • Organisationsrichtliniendienst
  • IAM
Pfad constraints/iam.disableServiceAccountKeyUpload
Operator Ist
Wert

True

Typ Boolesch
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-17
  • AC-20
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Weitere Informationen

Aufgabentrennung für Administratoren von Organisationsrichtlinien konfigurieren

Google-Einstellungs-ID OPS-CO-6.1
Implementierung Erforderlich
Beschreibung
Weisen Sie Gruppen, die für die Sicherheitslage der Organisation Cloud de Confiance by S3NS verantwortlich sind, die Rolle „Administrator für Unternehmensrichtlinien“ (roles/orgpolicy.policyAdmin) zu. Um die Erstellung von Ressourcen zu vermeiden, die gegen die Sicherheitsrichtlinie verstoßen, weisen Sie diese Rolle nicht Projektinhabern zu.
Entsprechende Produkte
  • IAM
  • Organisationsrichtliniendienst
Zugehörige NIST-800-53-Kontrollen
  • AC-2
  • AC-3
  • AC-5
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
Weitere Informationen

Bestätigung in zwei Schritten für Super Admin-Konten aktivieren

Google-Einstellungs-ID CI-CO-6.1
Implementierung Erforderlich
Beschreibung

Google empfiehlt Titan-Sicherheitsschlüssel für die 2‑Faktor-Authentifizierung (2FA) für Super Admin-Konten. Für Anwendungsfälle, in denen dies nicht möglich ist, empfehlen wir jedoch, stattdessen einen anderen Sicherheitsschlüssel zu verwenden.

Entsprechende Produkte
  • Cloud Identity
  • Titan-Sicherheitsschlüssel
Zugehörige NIST-800-53-Kontrollen
  • IA-2
  • IA-4
  • IA-5
  • IA-7
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Weitere Informationen

Bestätigung in zwei Schritten für die Organisationseinheit des Super Admin erzwingen

Google-Einstellungs-ID CI-CO-6.2
Implementierung Erforderlich
Beschreibung

Erzwingen Sie die 2‑Faktor-Authentifizierung für eine bestimmte Organisationseinheit oder die gesamte Organisation. Wir empfehlen, eine OE für Super Admins zu erstellen und die Bestätigung in zwei Schritten für diese OE zu erzwingen.

Entsprechende Produkte

Cloud Identity

Zugehörige NIST-800-53-Kontrollen
  • IA-2
  • IA-4
  • IA-5
  • IA-7
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Weitere Informationen

E‑Mail-Adresse für den primären Super Admin erstellen

Google-Einstellungs-ID CI-CO-6.4
Implementierung Erforderlich
Beschreibung
Erstellen Sie eine E-Mail-Adresse, die nicht für einen bestimmten Nutzer als primäres Cloud Identity-Super Admin-Konto spezifisch ist.
Entsprechende Produkte

Cloud Identity

Zugehörige NIST-800-53-Kontrollen
  • IA-2
  • IA-4
  • IA-5
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Weitere Informationen

Redundante Administratorkonten erstellen

Google-Einstellungs-ID CI-CO-6.7
Implementierung Erforderlich
Beschreibung

Es gibt keinen einzelnen Super Admin oder Organisationsadministrator. Erstellen Sie ein oder mehrere (bis zu 20) Administrator-Sicherungskonten. Ein einzelner Super Admin oder Organisationsadministrator kann zu Sperrszenarien führen. Diese Situation birgt auch ein höheres Risiko, da eine Person plattformverändernde Änderungen vornehmen kann, möglicherweise ohne Aufsicht.

Entsprechende Produkte
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
Zugehörige NIST-800-53-Kontrollen
  • IA-2
  • IA-4
  • IA-5
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Weitere Informationen

Privileged Access Manager verwenden

Google-Einstellungs-ID GCVE-CO-3.2
Implementierung Erforderlich
Beschreibung

Verwenden Sie Privileged Access Manager, um privilegierten Zugriff zu verwalten. Verwenden Sie für alle anderen Zugriffe Zugriffsgruppen, lassen Sie Gruppenmitgliedschaften automatisch ablaufen und implementieren Sie einen Genehmigungsworkflow für Gruppenmitgliedschaften.

Wenn Sie das Modell der geringsten Berechtigung verwenden, können Sie nur bei Bedarf Zugriff auf die benötigten Ressourcen gewähren. Die Verwendung vordefinierter Rollen vereinfacht die Nutzung und reduziert die durch benutzerdefinierte Rollen verursachte Ausweitung, sodass Sie sich nicht um die Verwaltung des Rollenlebenszyklus kümmern müssen.

Entsprechende Produkte

Identity and Access Management (IAM)

Zugehörige NIST-800-53-Kontrollen
  • AC-2
  • AC-3
  • AC-6
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-4.1
Weitere Informationen

„Source of Truth“ für Identitäten definieren

Implementierung Erforderlich
Beschreibung

Legen Sie die zentrale Datenquelle für die Bereitstellung verwalteter Nutzeridentitäten fest. Zu den Mustern gehören das Erstellen von Nutzeridentitäten in Cloud Identity, das Synchronisieren von Identitäten von einem vorhandenen Identitätsanbieter oder die Verwendung der Mitarbeiteridentitätsföderation.

Entsprechende Produkte
  • Cloud Identity
  • Mitarbeiteridentitätsföderation
Zugehörige NIST-800-53-Kontrollen
  • AC-2
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-1.1
Weitere Informationen

Richtlinien für starke Passwörter erzwingen

Implementierung Erforderlich
Beschreibung

Erzwingen Sie starke und eindeutige Passwörter für alle Nutzerkonten. Verwenden Sie einen Passwortmanager. Schwache oder fehlende Anmeldedaten sind ein häufiges Muster, das böswillige Nutzer leicht ausnutzen können.

Entsprechende Produkte
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
Zugehörige NIST-800-53-Kontrollen
  • IA-5
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-1.1
Weitere Informationen

Rollen basierend auf Aufgabenbereichen verwenden

Implementierung Erforderlich
Beschreibung

Verwenden Sie IAM-Rollen (Identity and Access Management), die auf Jobfunktionen basieren, um Nutzern Berechtigungen zuzuweisen. Jobfunktionen sind vordefinierte Rollen, mit denen Administratoren eine Reihe von Berechtigungen bereitstellen können, die auf eine Jobfunktion beschränkt sind. So wird die Produktivität gesteigert und der Aufwand für das Anfordern von Berechtigungen verringert. Um die Anforderungen Ihrer Organisation besser zu erfüllen, können Sie benutzerdefinierte Rollen auf Grundlage vordefinierter Rollen erstellen.

Entsprechende Produkte

IAM

Zugehörige NIST-800-53-Kontrollen
  • AC-6
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-4.1
Weitere Informationen

Externe Mitglieder in Gruppen einschränken

Implementierung Erforderlich
Beschreibung

Organisationsweite Richtlinien festlegen, um zu verhindern, dass externe Mitglieder zu Google-Gruppen hinzugefügt werden

Standardmäßig können externe Nutzerkonten zu Gruppen in Cloud Identity hinzugefügt werden. Wir empfehlen, die Freigabe-Einstellungen so zu konfigurieren, dass Gruppeninhaber keine externen Mitglieder hinzufügen können.

Hinweis: Diese Einschränkung gilt nicht für das Super Admin-Konto oder andere delegierte Administratoren mit Google Groups-Administratorberechtigungen. Da die Föderation von Ihrem Identitätsanbieter mit Administratorberechtigungen ausgeführt wird, gelten die Einstellungen für die Gruppenfreigabe nicht für diese Gruppensynchronisierung. Wir empfehlen Ihnen, die Steuerelemente beim Identitätsanbieter und im Synchronisierungsmechanismus zu prüfen, um sicherzustellen, dass Mitglieder, die nicht zur Domain gehören, nicht zu Gruppen hinzugefügt werden, oder Gruppeneinschränkungen anzuwenden.

Entsprechende Produkte
  • Cloud Identity
  • Google Workspace
Zugehörige NIST-800-53-Kontrollen
  • AC-2
  • AC-3
  • AC-20
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-3.1
  • PR.AC-5.1
Weitere Informationen

Tägliche Sitzungslänge festlegen

Implementierung Erforderlich
Beschreibung

Legen Sie die Sitzungsdauer für Cloud de Confiance by S3NS -Dienste so fest, dass sie mindestens einmal täglich abläuft. Wenn Sie ein Konto über einen längeren Zeitraum angemeldet lassen, kann das ein Sicherheitsrisiko darstellen. Wenn Sie eine maximale Sitzungsdauer erzwingen, wird die Sitzung nach einer bestimmten Zeit automatisch beendet und eine neue, sichere Anmeldung ist erforderlich.

So wird die Wahrscheinlichkeit verringert, dass ein böswilliger Nutzer ein gestohlenes Passwort verwendet, und der Zugriff wird regelmäßig neu überprüft.

Bei Neukunden wird automatisch eine Standardsitzungslänge von 16 Stunden erzwungen. Kunden, die ihre Cloud de Confiance by S3NS -Organisation vor 2023 erstellt haben, haben möglicherweise eine Standardeinstellung, die eine erneute Authentifizierung nie erfordert. Prüfen Sie diese Einstellung, um sicherzustellen, dass Sie eine Richtlinie für die erneute Authentifizierung mit einer Sitzungslänge zwischen 1 und 24 Stunden haben. Die Richtlinie zur erneuten Authentifizierung macht das Aktualisierungstoken ungültig und zwingt den Nutzer, die gcloud CLI regelmäßig mit seinem Passwort oder Sicherheitsschlüssel neu zu authentifizieren.

Die Sitzungslänge für Cloud de Confiance by S3NS -Dienste unterscheidet sich von der Sitzungslänge für Google-Dienste, die Websitzungen für die Anmeldung in Google Workspace-Diensten steuert, aber keine Kontrolle über die erneute Authentifizierung für die Cloud de Confiance by S3NShat. Wenn Sie Google Workspace-Dienste verwenden, legen Sie die Sitzungsdauer für beide fest.

Entsprechende Produkte
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
Zugehörige NIST-800-53-Kontrollen
  • AC-12
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-7.1
Weitere Informationen

Nicht verwaltete Privatnutzerkonten beheben

Implementierung Erforderlich
Beschreibung

Nicht verwaltete Privatnutzerkonten nicht zulassen. Konsolidieren Sie alle nicht verwalteten Privatnutzerkonten und überlegen Sie sich eine Lösung, um die Erstellung weiterer nicht verwalteter Privatnutzerkonten mit Ihrer Domain zu verhindern.

Nicht verwaltete Privatnutzerkonten unterliegen nicht Ihren Prozessen für neue, wechselnde und ausscheidende Mitarbeiter. Daher besteht das Risiko, dass ein Mitarbeiter nach seinem Ausscheiden weiterhin Zugriff auf Ihre Ressourcen hat. Diese Konten werden auch in Bezug auf Steuerelemente wie die domaineingeschränkte Freigabe als extern behandelt.

Entsprechende Produkte

Cloud Identity

Zugehörige NIST-800-53-Kontrollen
  • AC-2
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-1.1
Weitere Informationen

Spezielle Administratoren und Genehmigung durch mehrere Parteien erzwingen

Implementierung Erforderlich
Beschreibung

Super Admin-Konten sollten von den Nutzerkonten für den täglichen Gebrauch getrennt sein. Super Admin-Konten müssen dedizierte Konten sein, die nur für wichtige Änderungen verwendet werden. Aktivieren Sie die Genehmigung durch mehrere Parteien für Administratoraktionen, um die Sicherheit zu erhöhen. Wenn Sie die Genehmigung durch mehrere Parteien aktivieren, werden sensible Aktionen von zwei Administratoren genehmigt. So wird verhindert, dass Angreifer ein Administratorkonto kompromittieren und andere Administratoren aussperren.

Entsprechende Produkte
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
Zugehörige NIST-800-53-Kontrollen
  • AC-6
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-4.1
Weitere Informationen

Multi-Faktor-Authentifizierung für alle Google-Konten und Cloud Identity-Nutzer aktivieren

Google-Einstellungs-ID CI-CO-6.1
Implementierung Erforderlich
Beschreibung

Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA), auch 2‑Faktor-Authentifizierung (2FA) genannt, für alle Google-Konten und Cloud Identity-Nutzer, nicht nur für Super Admins. Die MFA für Super Admins ist standardmäßig aktiviert. Die MFA bietet eine zusätzliche Sicherheitsebene, da Passwörter allein oft nicht ausreichen.

Entsprechende Produkte
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
Zugehörige NIST-800-53-Kontrollen
  • IA-2
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-1.1
Weitere Informationen

Standardrollen für Creator entfernen

Implementierung Erforderlich
Beschreibung

Entfernen Sie die domainweiten Rollen „Project Creator“ und „Billing Account Creator“, die standardmäßig allen Mitgliedern einer neuen Organisation zugewiesen werden.

In neuen Organisationen werden allen verwalteten Nutzeridentitäten in der Domain die Rollen „Projektersteller“ und „Rechnungskontoersteller“ zugewiesen. Diese Rollen sind zwar nützlich für den Einstieg, diese Konfiguration ist jedoch nicht für Produktionsumgebungen vorgesehen. Wenn sich Abrechnungskonten vermehren, führt das zu einem erhöhten Verwaltungsaufwand und hat technische Folgen, wenn Dienste auf mehrere Abrechnungskonten aufgeteilt werden. Wenn Sie die kostenlose Projekterstellung zulassen, kann es zu Projekten kommen, die nicht Ihren Governance-Konventionen entsprechen.

Entfernen Sie stattdessen diese Rollen und richten Sie einen Prozess zum Erstellen von Projekten ein, um neue Projekte anzufordern und sie mit der Abrechnung zu verknüpfen.

Entsprechende Produkte

IAM

Pfad resourcemanager.organizations/iamPolicy.bindings
Operator not_contains
Wert
  • role:roles/resourcemanager.projectCreator AND member:domain:*
  • role:roles/billing.creator AND member:domain:*
Typ String
Zugehörige NIST-800-53-Kontrollen
  • AC-6
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-4.1
Weitere Informationen

Dienstkontoschlüssel rotieren

Implementierung Erforderlich
Beschreibung

Wenn Sie Dienstkontoschlüssel verwenden müssen, rotieren Sie die Schlüssel mindestens alle 90 Tage.

Ein Rotationsintervall begrenzt, wie lange ein Angreifer Zugriff auf das System haben kann. Ohne Rotationsintervall hat der Angreifer dauerhaft Zugriff. Verwenden Sie nach Möglichkeit die Workload Identity-Föderation anstelle von Dienstkontoschlüsseln.

Entsprechende Produkte

IAM

Pfad constraints/iam.serviceAccountKeyExpiryHours
Operator <=
Wert

2160

Typ String
Zugehörige NIST-800-53-Kontrollen
  • SC-12
Zugehörige Einstellungen für das CRI-Profil
  • PR.DS-1.1
Weitere Informationen

Workload Identity-Föderation verwenden

Implementierung Erforderlich
Beschreibung

Mit Workload Identity-Föderation können sich CI/CD-Systeme und Arbeitslasten, die in anderen Clouds ausgeführt werden, bei Cloud de Confiance by S3NSauthentifizieren. Mit der Workload Identity-Föderation können sich Arbeitslasten, die außerhalb von Cloud de Confiance ausgeführt werden, authentifizieren, ohne dass ein Dienstkontoschlüssel erforderlich ist. Wenn Sie Dienstkontoschlüssel und andere langlebige Anmeldedaten vermeiden, kann die Workload Identity-Föderation dazu beitragen, das Risiko von Anmeldedatenlecks zu verringern.

Entsprechende Produkte

IAM

Pfad iam.googleapis.com/WorkloadIdentityPool
Operator Ist festgelegt
Typ String
Zugehörige NIST-800-53-Kontrollen
  • IA-2
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-1.1
Weitere Informationen

Eigenständige Kontowiederherstellung für Super Admin-Konten blockieren

Google-Einstellungs-ID CI-CO-6.3
Implementierung Erforderlich
Beschreibung

Die eigenständige Kontowiederherstellung durch Super Admins ist für neue Kunden standardmäßig deaktiviert. Bestehende Kunden haben diese Einstellung möglicherweise aktiviert. Durch das Deaktivieren dieser Einstellung verringern Sie das Risiko, dass ein manipuliertes Telefon, ein manipuliertes E-Mail-Konto oder ein Social Engineering-Angriff Angreifern in Ihrer Umgebung Super Admin-Berechtigungen gewähren kann.

Planen Sie einen internen Prozess, damit ein Super Admin einen anderen Super Admin in Ihrer Organisation kontaktieren kann, wenn er keinen Zugriff mehr auf sein Konto hat. Sorgen Sie außerdem dafür, dass alle Super Admins mit dem Prozess für die supportgestützte Wiederherstellung vertraut sind.

Wenn Sie die Funktion deaktivieren möchten, rufen Sie in der Admin-Konsole die Einstellungen zur Kontowiederherstellung auf.

Entsprechende Produkte
  • Cloud Identity
  • Google Workspace
Zugehörige NIST-800-53-Kontrollen
  • AC-2
  • AC-3
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-1.1
  • PR.AC-4.1
Weitere Informationen

Zeitüberschreitung für inaktive Sitzungen für vertrauliche Anwendungsfälle festlegen

Implementierung Erforderlich
Beschreibung

Legen Sie das Zeitlimit für Inaktivitätssitzungen für sensible Anwendungsfälle auf 15 Minuten fest. Inaktive Sitzungen können von Angreifern zum Diebstahl von Anmeldedaten verwendet werden.

Entsprechende Produkte
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
Zugehörige NIST-800-53-Kontrollen
  • AC-12
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-7.1
Weitere Informationen

Hardware-Sicherheitsschlüssel für Administratoren erzwingen

Implementierung Erforderlich
Beschreibung

Stellen Sie Powerusern oder Organisationsadministratoren nach Möglichkeit Hardwaresicherheitsschlüssel als zweiten Faktor zur Verfügung. Super Admin-Konten sind die wertvollsten Ziele für ausgeklügelte Angriffe. Hardware-Sicherheitsschlüssel bieten ein hohes Maß an Schutz, da sie phishing-resistent sind. Hardware-Sicherheitsschlüssel sind die bestmögliche Verteidigung gegen Kontoübernahmen für Ihre wichtigsten Administratoren und bauen auf Ihrer Standardrichtlinie für die Bestätigung in zwei Schritten auf.

Entsprechende Produkte
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
Zugehörige NIST-800-53-Kontrollen
  • IA-2
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-1.1
Weitere Informationen

Identitätsbestätigung nach der Einmalanmeldung aktivieren

Implementierung Erforderlich
Beschreibung

Wenn Sie einen externen Identitätsanbieter verwenden, richten Sie die Post-SSO-Prüfung ein.

Aktivieren Sie eine zusätzliche Steuerungsebene, die auf der Risikoanalyse für das Google-Log-in basiert. Nachdem Sie diese Einstellung angewendet haben, können Nutzer bei der Anmeldung zusätzliche risikoabhängige Identitätsbestätigungen sehen, wenn Google der Meinung ist, dass eine Nutzeranmeldung verdächtig ist.

Entsprechende Produkte
  • Cloud Identity
  • Google Workspace
Zugehörige NIST-800-53-Kontrollen
  • IA-2
  • IA-5
  • IA-8
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-3.1
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Weitere Informationen

Principal Access Boundary-Richtlinien aktivieren

Implementierung Erforderlich
Beschreibung

Aktivieren Sie Principal Access Boundary-Richtlinien (PAB), um den Zugriff von Identitäten einzuschränken und sich vor Phishing und Daten-Exfiltration zu schützen. Aktivieren Sie eine PAB-Richtlinie für die Organisation, um externe Phishing-Angriffe zu vermeiden. PABs verbessern die Sicherheit, indem sie das Ausmaß eines Angriffs mit einer kompromittierten Identität verringern. Außerdem tragen sie dazu bei, externe Phishing- und andere Exfiltrationsangriffe zu verhindern.

Entsprechende Produkte

IAM

Pfad iam.googleapis.com/PrincipalAccessBoundaryPolicy
Operator Ist festgelegt
Typ String
Zugehörige NIST-800-53-Kontrollen
  • AC-3
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-3.1
Weitere Informationen

Tags implementieren, um IAM- und Organisationsrichtlinien effizient zuzuweisen

Google-Einstellungs-ID IAM-CO-6.1
Implementierung Empfohlen
Beschreibung

Mit Tags können Sie Annotationen für Ressourcen erstellen und in einigen Fällen Richtlinien je nachdem, ob eine Ressource ein bestimmtes Tag hat, zulassen oder ablehnen. Tags und die bedingte Erzwingung von Richtlinien ermöglichen Ihnen, die Ressourcenhierarchie genau zu steuern.

Entsprechende Produkte

Resource Manager

Zugehörige NIST-800-53-Kontrollen
  • AC-2
  • AC-3
  • AC-5
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
Weitere Informationen

IAM-Änderungen mit hohem Risiko prüfen

Google-Einstellungs-ID IAM-CO-7.1
Implementierung Empfohlen
Beschreibung

Mit Cloud-Audit-Logs können Sie Aktivitäten mit hohem Risiko überwachen, z. B. wenn Konten Rollen mit hohem Risiko wie „Administrator der Organisation“ und „Super Admin“ zugewiesen werden. Richten Sie Benachrichtigungen für diese Art von Aktivität ein.

Entsprechende Produkte

Cloud-Audit-Logs

Zugehörige NIST-800-53-Kontrollen
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Zugehörige Einstellungen für das CRI-Profil
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Weitere Informationen

Zugriff auf Cloud Shell für von Cloud Identity verwaltete Nutzerkonten blockieren

Google-Einstellungs-ID CI-CO-6.8
Implementierung Empfohlen
Beschreibung

Um zu umfangreichen Zugriff auf Cloud de Confiance by S3NSzu vermeiden, können Sie den Zugriff auf Cloud Shell für von Cloud Identity verwaltete Nutzerkonten blockieren.

Entsprechende Produkte
  • Cloud Identity
  • Cloud Shell
Zugehörige NIST-800-53-Kontrollen
  • SC-7
  • SC-8
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Weitere Informationen

Kontextsensitiven Zugriff für Google-Konsolen konfigurieren

Google-Einstellungs-ID IAM-CO-8.2
Implementierung Optional
Beschreibung

Mit dem kontextsensitiven Zugriff können Sie detaillierte Sicherheitsrichtlinien zur Zugriffssteuerung für Anwendungen auf Grundlage von Attributen wie Nutzer-ID, Standort, Sicherheitsstatus des Geräts oder IP-Adresse erstellen. Wir empfehlen, den Zugriff auf die Cloud de Confiance -Konsole (https://console.cloud.google.com/) und die Google Admin-Konsole (https://admin.cloud.google.com) mit dem kontextsensitiven Zugriff einzuschränken.

Entsprechende Produkte
  • Cloud Identity
  • Kontextsensitiver Zugriff
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-12
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Weitere Informationen

Eigenständige Kontowiederherstellung für Super Admin-Konten blockieren

Google-Einstellungs-ID CI-CO-6.3
Implementierung Optional
Beschreibung
Ein Angreifer könnte das Verfahren zur Selbstwiederherstellung verwenden, um Super Admin-Passwörter zurückzusetzen. Um die Sicherheitsrisiken zu minimieren, die mit SS7-Angriffen (Signaling System 7), SIM-Swap-Angriffen oder anderen Phishing-Angriffen verbunden sind, empfehlen wir, diese Funktion zu deaktivieren. Wenn Sie die Funktion deaktivieren möchten, rufen Sie in der Admin-Konsole die Einstellungen zur Kontowiederherstellung auf.
Entsprechende Produkte
  • Cloud Identity
  • Google Workspace
Zugehörige NIST-800-53-Kontrollen
  • IA-2
  • IA-4
  • IA-5
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Weitere Informationen

Nicht verwendete Google-Dienste deaktivieren

Google-Einstellungs-ID CI-CO-6.6
Implementierung Optional
Beschreibung
Im Allgemeinen empfehlen wir, die Dienste zu deaktivieren, die Sie nicht verwenden.
Entsprechende Produkte

Cloud Identity

Pfad http://admin.google.com > Apps > Additional Google Services
Operator Einstellung
Wert

False

Zugehörige NIST-800-53-Kontrollen
  • SC-7
  • SC-8
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Weitere Informationen

Organisation

Dieser Abschnitt enthält die Best Practices und Richtlinien für den Organisationsrichtliniendienst und Resource Manager beim Ausführen von Arbeitslasten auf Cloud de Confiance by S3NS.

Von Google-APIs unterstützte TLS-Versionen einschränken

Google-Einstellungs-ID COM-CO-1.1
Implementierung Erforderlich
Beschreibung

Cloud de Confiance unterstützt mehrere TLS-Protokollversionen. Um Compliance-Anforderungen zu erfüllen, sollten Sie Handshake-Anfragen von Clients, die ältere TLS-Versionen verwenden, ablehnen.

Verwenden Sie zum Konfigurieren dieses Steuerelements die Einschränkung der Organisationsrichtlinie TLS-Versionen einschränken (gcp.restrictTLSVersion). Sie können diese Einschränkung auf Organisationen, Ordner oder Projekte in der Ressourcenhierarchie anwenden. Für die Einschränkung TLS-Versionen einschränken wird eine Sperrliste verwendet, in der explizite Werte abgelehnt und alle anderen zugelassen werden. Wenn Sie versuchen, eine Zulassungsliste zu verwenden, tritt ein Fehler auf.

Aufgrund der Auswertung der Hierarchie von Organisationsrichtlinien gilt die Einschränkung der TLS-Version für den angegebenen Ressourcenknoten und alle zugehörigen Ordner und Projekte (untergeordnete Elemente). Wenn Sie beispielsweise die TLS-Version 1.0 für eine Organisation ablehnen, wird diese auch für alle untergeordneten Elemente abgelehnt, die von dieser Organisation abstammen.

Sie können die übernommene TLS-Versionsbeschränkung überschreiben, indem Sie die Organisationsrichtlinie für eine untergeordnete Ressource aktualisieren. Wenn in Ihrer Organisationsrichtlinie beispielsweise TLS 1.0 auf Organisationsebene abgelehnt wird, können Sie die Einschränkung für einen untergeordneten Ordner entfernen, indem Sie eine separate Organisationsrichtlinie für diesen Ordner festlegen. Wenn der Ordner untergeordnete Elemente hat, wird die Richtlinie des Ordners aufgrund der Richtlinienübernahme auch auf jede untergeordnete Ressource angewendet.

Wenn Sie die TLS-Version weiter auf TLS 1.3 beschränken möchten, können Sie diese Richtlinie so festlegen, dass auch TLS-Version 1.2 eingeschränkt wird. Sie müssen diese Steuerung in Anwendungen implementieren, die Sie in Cloud de Confiance by S3NShosten. Legen Sie beispielsweise auf Organisationsebene Folgendes fest:

["TLS_VERSION_1","TLS_VERSION_1.1","TLS_VERSION_1.2"]

Entsprechende Produkte

Alle; werden vom Organisationsrichtliniendienst verwaltet

Pfad gcp.restrictTLSVersion
Operator ==
Wert
  • TLS_VERSION_1
  • TLS_VERSION_1.1
Typ String
Compliance Manager-Einstellungs-ID RESTRICT_LEGACY_TLS_VERSIONS
Zugehörige NIST-800-53-Kontrollen
  • SC-8
  • SC-13
Zugehörige Einstellungen für das CRI-Profil
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Weitere Informationen

Autorisierte Hauptkonten einschränken

Google-Einstellungs-ID COM-CO-4.1
Implementierung Erforderlich
Beschreibung

Sorgen Sie dafür, dass nur Identitäten aus Ihrer Organisation in Ihrer Cloud de Confiance by S3NS -Umgebung zugelassen sind. Verwenden Sie die Organisationsrichtlinieneinschränkung Domaineingeschränkte Freigabe (iam.allowedPolicyMemberDomains) oder iam.managed.allowedPolicyMembers, um mindestens eine Cloud Identity- oder Google Workspace-Kundennummer zu definieren, deren Hauptkonten IAM-Richtlinien (Identity and Access Management) hinzugefügt werden können.

Diese Einschränkungen helfen, zu verhindern, dass Mitarbeiter Zugriff auf externe Konten außerhalb der Kontrolle Ihrer Organisation gewähren, die nicht Ihren Sicherheitsrichtlinien für die Multi-Faktor-Authentifizierung (MFA) oder die Passwortverwaltung entsprechen. Diese Einstellung ist wichtig, um unbefugten Zugriff zu verhindern und dafür zu sorgen, dass nur vertrauenswürdige, verwaltete Unternehmensidentitäten verwendet werden können.

Entsprechende Produkte
  • Organisationsrichtliniendienst
  • IAM
Pfad constraints/iam.allowedPolicyMemberDomains
Operator Ist
Wert

CUSTOMER_ID,ORG_ID

Typ Liste
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-17
  • AC-20
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Weitere Informationen

Nutzung von Ressourcendiensten einschränken

Google-Einstellungs-ID RM-CO-4.1
Implementierung Erforderlich
Beschreibung

Die Einschränkung gcp.restrictServiceUsagesorgt dafür, dass nur Ihre genehmigten Cloud de Confiance by S3NS Dienste an den richtigen Stellen verwendet werden. Ein Produktions- oder sehr vertraulicher Ordner hat beispielsweise eine kleine Liste von Cloud de Confiance Diensten, die zum Speichern von Daten zugelassen sind. Ein Sandbox-Ordner kann eine längere Liste von Diensten und zugehörigen Datensicherheitskontrollen enthalten, um Daten-Exfiltration zu verhindern. Der Wert ist spezifisch für Ihre Systeme und entspricht Ihrer genehmigten Liste von Diensten und Abhängigkeiten für bestimmte Ordner und Projekte.

Mit dieser Einschränkung kann Ihre Organisation eine Zulassungsliste mit genehmigten Diensten erstellen, um zu verhindern, dass Mitarbeiter nicht geprüfte Dienste verwenden.

Entsprechende Produkte
  • Organisationsrichtliniendienst
  • Resource Manager
Pfad constraints/gcp.restrictServiceUsage
Operator Ist
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-17
  • AC-20
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Weitere Informationen

Ressourcenstandorte einschränken

Google-Einstellungs-ID RM-CO-4.2
Implementierung Erforderlich
Beschreibung

Die Einschränkung „Beschränkung des Ressourcenstandorts“ (gcp.resourceLocations) sorgt dafür, dass nur Ihre genehmigten Cloud de Confiance by S3NS Regionen zum Speichern von Daten verwendet werden. Der Wert ist spezifisch für Ihre Systeme und entspricht der genehmigten Liste der Regionen Ihrer Organisation für den Datenstandort.

Mit dieser Einschränkung kann Ihre Organisation erzwingen, dass Ihre Ressourcen und Daten nur in bestimmten, genehmigten geografischen Regionen erstellt und gespeichert werden.

Entsprechende Produkte
  • Organisationsrichtliniendienst
  • Resource Manager
Pfad constraints/gcp.resourceLocations
Operator Ist
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-17
  • AC-20
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Weitere Informationen

Netzwerk

Dieser Abschnitt enthält die Best Practices und Richtlinien für Virtual Private Cloud (VPC) und Cloud DNS beim Ausführen von Arbeitslasten auf Cloud de Confiance by S3NS.

Erstellen des Standardnetzwerks blockieren

Google-Einstellungs-ID VPC-CO-6.1
Implementierung Erforderlich
Beschreibung

Die boolesche Einschränkung compute.skipDefaultNetworkCreation überspringt die Erstellung des Standardnetzwerks und der zugehörigen Ressourcen beim Erstellen von Cloud de Confiance by S3NS Projekten.

Das Standardnetzwerk ist ein VPC-Netzwerk (Virtual Private Cloud) im automatischen Modus mit vorkonfigurierten IPv4-Firewallregeln, die interne Kommunikationspfade zulassen. Im Allgemeinen ist diese Einrichtung keine empfohlene Sicherheitskonfiguration für Produktionsumgebungen.

Entsprechende Produkte
  • Organisationsrichtliniendienst
  • Virtual Private Cloud (VPC)
Pfad constraints/compute.skipDefaultNetworkCreation
Wert

True

Typ Boolesch
Zugehörige NIST-800-53-Kontrollen
  • SC-7
  • SC-8
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Weitere Informationen

DNS-Sicherheitserweiterungen aktivieren

Google-Einstellungs-ID DNS-CO-6.1
Implementierung Erforderlich
Beschreibung

DNSSEC (Domain Name System Security Extensions) ist ein Feature des Domain Name System (DNS), mit dem Antworten auf Domainnamenabfragen authentifiziert werden können. Sie bietet keinen Datenschutz für diese Suchvorgänge, verhindert jedoch, dass Angreifer die Antworten auf DNS-Anfragen verfälschen oder manipulieren.

Aktivieren Sie DNSSEC in Cloud DNS an den folgenden Stellen:

  • DNS-Zone
  • Top-Level-Domain (TLD)
  • DNS-Auflösung
Entsprechende Produkte

Cloud DNS

Zugehörige NIST-800-53-Kontrollen
  • SC-7
  • SC-8
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Weitere Informationen

Privaten Google-Zugriff aktivieren

Google-Einstellungs-ID GCVE-CO-1.5
Implementierung Erforderlich
Beschreibung

Aktivieren Sie den privaten Google-Zugriff für alle Subnetze.

Wenn Sie den privaten Google-Zugriff aktivieren, können Dienste auf Cloud de Confiance by S3NS Dienste ohne externe IP-Adressen zugreifen. Der privater Google-Zugriff ist standardmäßig nicht für neue Ressourcen aktiviert und muss explizit aktiviert werden.

Entsprechende Produkte

Virtual Private Cloud (VPC)

Zugehörige NIST-800-53-Kontrollen
  • SC-7
  • SC-8
  • SC-13
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-3.1
Weitere Informationen

Zugriff auf private Dienste für Dienstersteller aktivieren

Google-Einstellungs-ID GCVE-CO-1.6
Implementierung Erforderlich
Beschreibung

Aktivieren Sie den Zugriff auf private Dienste, um ein privates Netzwerk zwischen Cloud de Confiance by S3NS Diensten wie Google Cloud VMware Engine-Legacy-Netzwerken und Dienstanbietern wie Cloud SQL zu erstellen. Mit dem privaten Dienstzugriff lässt sich vermeiden, dass Netzwerkverbindungen für Arbeitslasten unnötig dem Internet ausgesetzt werden.

Entsprechende Produkte

Virtual Private Cloud (VPC)

Zugehörige NIST-800-53-Kontrollen
  • SC-7
  • SC-8
  • SC-13
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-3.1
Weitere Informationen

IPv6 deaktivieren, sofern nicht erforderlich

Implementierung Erforderlich
Beschreibung

Deaktivieren Sie das Erstellen externer IPv6-Subnetze, sofern dies nicht ausdrücklich erforderlich ist. Um die Angriffsfläche zu verringern, sollten Sie IPv6 auf Systemen und in Netzwerken deaktivieren, in denen es nicht aktiv verwaltet wird oder nicht erforderlich ist. Viele Organisationen haben ausgereifte Sicherheitskontrollen und Monitoring für IPv4, aber ihre Tools und Richtlinien erstrecken sich möglicherweise nicht vollständig auf IPv6, was zu einem erheblichen blinden Fleck für Bedrohungen führen kann. Der Betrieb eines Dual-Stack-Netzwerks führt auch zu einer erhöhten Komplexität, da für die effektive Verwaltung und Fehlerbehebung spezielle Konfigurationen und Fachkenntnisse erforderlich sind. Wenn Sie also keinen klaren geschäftlichen Grund für IPv6 haben, kann das Deaktivieren die Umgebung vereinfachen und dafür sorgen, dass der gesamte Traffic einheitlich über Ihre etablierte IPv4-Sicherheitskonfiguration gefiltert wird.

Entsprechende Produkte

Compute Engine

Pfad constraints/compute.disableVpcExternalIpv6
Operator Ist
Wert

True

Typ Boolesch
Zugehörige NIST-800-53-Kontrollen
  • CM-7
Zugehörige Einstellungen für das CRI-Profil
  • PR.PT-3.1
Weitere Informationen

Ausgehenden Traffic beschränken

Implementierung Erforderlich
Beschreibung

Beschränken Sie den Zugriff auf externe Quellen, da standardmäßig der gesamte Zugriff nach außen zulässig ist. Legen Sie bestimmte Firewallregeln für beabsichtigte Muster von ausgehendem Traffic fest.

Standardmäßig dürfen Systeme oft ausgehende Verbindungen zum Internet herstellen, was als Sicherheitsrisiko angesehen werden kann. Eine Richtlinie vom Typ „Standardmäßig ablehnen“ blockiert ausgehenden Traffic und erfordert, dass spezifische Regeln nur für die bekannten, erforderlichen Ziele erstellt werden.

Entsprechende Produkte

Cloud Next Generation Firewall

Pfad cloudasset.assets/assetType
Operator ==
Wert

compute.googleapis.com/Firewall

Typ String
Zugehörige NIST-800-53-Kontrollen
  • SC-7
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-3.1
Weitere Informationen

Eingehenden Zugriff auf SSH- und RDP-Ports einschränken

Implementierung Erforderlich
Beschreibung

Beschränken Sie den eingehenden Zugriff nach Möglichkeit nur auf bestimmte Ressourcen und Ressourcenbereiche. Wenn Identity-Aware Proxy (IAP) konfiguriert ist, legen Sie für eingehende SSH- und RDP-Firewallregeln (Remote Desktop Protocol) IAP-IP-Bereiche als Quellen fest.

Durchlässige SSH- und RDP-Firewallregeln ermöglichen Brute-Force-Angriffe. Verwenden Sie stattdessen Cloud de Confiance by S3NS Identity-Aware Proxys (z. B. IAP) für SSH und RDP.

Entsprechende Produkte

IAP

Pfad cloudasset.assets/assetType
Operator ==
Wert

compute.googleapis.com/Firewall

Typ String
Zugehörige NIST-800-53-Kontrollen
  • SC-7
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-3.1
Weitere Informationen

VPC Service Controls aktivieren

Implementierung Erforderlich
Beschreibung

Aktivieren Sie VPC Service Controls als zusätzliche Schutzebene, um potenziellen Datenverlust zu verhindern.

Mit VPC Service Controls können Sie Daten-Exfiltration verhindern, indem Sie Isolationsperimeter für Ihre Cloud-Ressourcen, sensiblen Daten und Netzwerke erstellen.

Der Dienstperimeter schränkt den Nutzen kompromittierter Anmeldedaten ein, da der Perimeter Anfragen an eingeschränkte Dienste blockiert, die von Endpunkten stammen, die von Angreifern kontrolliert werden und sich außerhalb Ihrer Umgebung befinden.

Entsprechende Produkte

VPC Service Controls

Pfad accesscontextmanager.accessPolicies.servicePerimeters/perimeterType
Operator ==
Wert

PERIMETER_TYPE_REGULAR

Typ String
Zugehörige NIST-800-53-Kontrollen
  • SC-7
  • SC-8
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-3.1
Weitere Informationen

Cloud Armor-Richtlinien verwenden

Implementierung Erforderlich
Beschreibung

Verwenden Sie für Anwendungen, die hinter Cloud Load Balancing bereitgestellt werden, Google Cloud Armor-Standardrichtlinien oder konfigurieren Sie eigene Richtlinien, um externen Anwendungen oder Diensten Netzwerkschutz von Layer 3 bis Layer 7 hinzuzufügen. Cloud Armor-Sicherheitsrichtlinien schützen Ihre Anwendung durch Layer 7-Filterung. Diese Richtlinien prüfen auch eingehende Anfragen auf häufige Webangriffe oder andere Layer 7-Attribute, um Traffic zu blockieren, bevor er Ihre Back-End-Dienste mit Load-Balancing oder Ihre Back-End-Buckets erreicht. Jede Sicherheitsrichtlinie besteht aus einer Reihe von Regeln, die Attribute von Layer 3 bis Layer 7 enthalten.

Entsprechende Produkte

Cloud Armor

Pfad compute.backendServices/securityPolicy
Operator Ist festgelegt
Typ String
Zugehörige NIST-800-53-Kontrollen
  • SC-7
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-3.1
Weitere Informationen

Dienstbereichseinschränkung in Access Context Manager-Zugriffsrichtlinien aktivieren

Google-Einstellungs-ID COM-CO-8.1
Implementierung Empfohlen für Anwendungsfälle für generative KI
Beschreibung

Prüfen Sie für jeden Dienstperimeter in der Cloud de Confiance Konsole, ob der Perimetertyp auf „Regulär“ festgelegt ist.

Entsprechende Produkte
  • Access Context Manager
  • VPC Service Controls
Pfad accesscontextmanager.accessPolicies.servicePerimeters/perimeterType
Operator ==
Wert

PERIMETER_TYPE_REGULAR

Typ String
Zugehörige NIST-800-53-Kontrollen
  • SC-7
  • SC-8
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Weitere Informationen

APIs in VPC Service Controls-Dienstperimetern einschränken

Google-Einstellungs-ID COM-CO-8.2
Implementierung Empfohlen für Anwendungsfälle für generative KI
Beschreibung

Verwenden Sie Access Context Manager, um für jeden Dienstperimeter zu bestätigen, dass der Perimeter die API schützt.

Entsprechende Produkte
  • VPC Service Controls
  • Access Context Manager
Pfad accesscontextmanager.accessPolicies.servicePerimeters/status.restrictedServices
Operator Anyof
Wert
  • aiplatform.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • cloudasset.googleapis.com
  • cloudbuild.googleapis.com
  • cloudfunctions.googleapis.com
  • cloudresourcemanager.googleapis.com
  • containeranalysis.googleapis.com
  • discoveryengine.googleapis.com
  • dns.googleapis.com
  • notebooks.googleapis.com
  • ondemandscanning.googleapis.com
  • orgpolicy.googleapis.com
  • pubsub.googleapis.com
  • secretmanager.googleapis.com
  • storage.googleapis.com
  • visionai.googleapis.com
Typ String
Zugehörige NIST-800-53-Kontrollen
  • SC-7
  • SC-8
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Weitere Informationen

Zonales DNS verwenden

Google-Einstellungs-ID DNS-CO-4.1
Implementierung Optional
Beschreibung

Mit der booleschen Einschränkung compute.setNewProjectDefaultToZonalDNSOnly können Sie die interne DNS-Einstellung für neue Projekte so festlegen, dass nur zonales DNS verwendet wird. Verwenden Sie zonales DNS, da es im Vergleich zu einzelnen Zonen eine höhere Zuverlässigkeit bietet, weil Fehler bei der DNS-Registrierung isoliert werden .

Entsprechende Produkte

Unternehmensrichtlinien

Pfad constraints/compute.setNewProjectDefaultToZonalDNSOnly
Operator =
Wert

True

Typ Boolesch
Zugehörige NIST-800-53-Kontrollen
  • AC-3
  • AC-17
  • AC-20
Zugehörige Einstellungen für das CRI-Profil
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Weitere Informationen

Logging, Monitoring, Benachrichtigungen

Dieser Abschnitt enthält die Best Practices und Richtlinien für das Logging und die Überwachung von Diensten in Cloud de Confiance by S3NS sowie das Konfigurieren von Benachrichtigungen für Dienste wie Cloud Billing.

Audit-Logs aus Cloud Identity freigeben

Google-Einstellungs-ID CI-CO-6.5
Implementierung Erforderlich
Beschreibung

Wenn Sie Cloud Identity verwenden, geben Sie Audit-Logs aus Cloud Identity für Cloud de Confiance by S3NSfrei.

Audit-Logs zur Administratoraktivität von Google Workspace oder Cloud Identity werden normalerweise in der Google Admin-Konsole verwaltet und angezeigt, separat von Ihren Logs in der Cloud de Confiance -Umgebung. Diese Logs enthalten Informationen, die für Ihre Cloud de Confiance Umgebung relevant sind, z. B. Nutzeranmeldeereignisse.

Wir empfehlen, Cloud Identity-Audit-Logs für Ihre Cloud de Confiance -Umgebung freizugeben, um Logs aus allen Quellen zentral zu verwalten.

Entsprechende Produkte
  • Google Workspace
  • Cloud Logging
  • Cloud Identity
Zugehörige NIST-800-53-Kontrollen
  • AC-2
  • AC-3
  • AC-8
  • AC-9
Zugehörige Einstellungen für das CRI-Profil
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
Weitere Informationen

Audit-Logs verwenden

Google-Einstellungs-ID COM-CO-7.3
Implementierung Erforderlich
Beschreibung

Cloud de Confiance -Dienste schreiben Audit-Logeinträge, um die Frage zu beantworten, wer was, wo und wann mit Cloud de Confiance -Ressourcen getan hat.

Aktivieren Sie das Audit-Logging auf Organisationsebene. Sie können das Logging mit der Pipeline konfigurieren, die Sie zum Einrichten der Cloud de Confiance -Organisation verwenden.

Entsprechende Produkte

Cloud-Audit-Logs

Zugehörige NIST-800-53-Kontrollen
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Zugehörige Einstellungen für das CRI-Profil
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Weitere Informationen

VPC-Flusslogs aktivieren

Google-Einstellungs-ID COM-CO-7.4
Implementierung Erforderlich
Beschreibung

In VPC-Flusslogs wird eine Stichprobe von Netzwerkflüssen erfasst, die von VM-Instanzen gesendet und empfangen werden, darunter Instanzen, die als Google Kubernetes Engine-Knoten (GKE) verwendet werden. Die Stichprobe beträgt in der Regel 50% oder weniger der VPC-Netzwerkflüsse.

Wenn Sie VPC-Fluss-Logs aktivieren, aktivieren Sie Logging für alle VMs in einem Subnetz. Sie können jedoch die Menge der in Logging geschriebenen Informationen reduzieren.

Aktivieren Sie VPC-Flusslogs für jedes VPC-Subnetz. Sie können die Protokollierung mit einer Pipeline konfigurieren, mit der Sie ein Projekt erstellen.

Entsprechende Produkte

Virtual Private Cloud

Zugehörige NIST-800-53-Kontrollen
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Zugehörige Einstellungen für das CRI-Profil
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Weitere Informationen

Firewallregel-Logging aktivieren

Google-Einstellungs-ID COM-CO-7.5
Implementierung Erforderlich
Beschreibung

Standardmäßig werden durch Firewallregeln nicht automatisch Logs geschrieben.Mit dem Logging von Firewallregeln können Sie die Auswirkungen Ihrer Firewallregeln überwachen, überprüfen und analysieren. Sie können beispielsweise feststellen, ob eine Firewallregel, die Traffic abweisen soll, wie vorgesehen funktioniert. Logging ist auch nützlich, wenn Sie ermitteln möchten, wie viele Verbindungen von einer bestimmten Firewallregel betroffen sind.

Aktivieren Sie das Logging für jede Firewallregel. Sie können das Logging mit einer Pipeline konfigurieren, mit der Sie eine Firewall erstellen.

Entsprechende Produkte

Virtual Private Cloud

Zugehörige NIST-800-53-Kontrollen
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Zugehörige Einstellungen für das CRI-Profil
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Weitere Informationen

Prüfung von Administratoraktivitäten aktivieren

Google-Einstellungs-ID COM-CO-7.1
Implementierung Erforderlich
Beschreibung

Standardmäßig wird mit Cloud de Confiance die Prüfung wichtiger Administratoraktivitäten für privilegierte Konten aktiviert und niemand kann sie deaktivieren.

Audit-Logs zur Administratoraktivität enthalten Logeinträge für API-Aufrufe oder andere Aktionen, die die Konfiguration oder Metadaten von Ressourcen ändern. In diesen Logs wird beispielsweise aufgezeichnet, wann Nutzer VM-Instanzen erstellen oder IAM-Berechtigungen ändern.

Audit-Logs zu Administratoraktivitäten enthalten Logeinträge zum Erstellen, Ändern und Löschen von Einschränkungen für Organisationsrichtlinien auf Organisations-, Ordner- und Projektebene.

Diese Logs werden immer geschrieben. Sie können sie nicht konfigurieren, ausschließen oder deaktivieren. Selbst wenn Sie die Cloud Logging API deaktivieren, werden weiterhin Audit-Logs zur Administratoraktivität generiert.

Wir empfehlen Ihrer Organisation, Richtlinien und Verfahren einzurichten, um diese Benachrichtigungen zu überwachen und gemäß Ihren Unternehmensrichtlinien für den Zugriff Aktionen oder Benachrichtigungen zu generieren, um Administratoraktivitäten zu überwachen.

Entsprechende Produkte

Cloud-Audit-Logs

Zugehörige NIST-800-53-Kontrollen
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Zugehörige Einstellungen für das CRI-Profil
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Weitere Informationen

Sicherheitsbulletins abonnieren

Google-Einstellungs-ID GKE-CO-1.8
Implementierung Erforderlich
Beschreibung

Abonnieren Sie die Benachrichtigungen zu Sicherheitsbulletins für Cloud de Confiance by S3NS -Dienste, um Benachrichtigungen zu Sicherheitslücken und Risikominderungsmaßnahmen zu erhalten.

Wenn Sicherheitsbulletins verfügbar sind, die für Ihren Cloud de Confiance by S3NS -Dienst (z. B. GKE) relevant sind, kann der Dienst Benachrichtigungen zu diesen Ereignissen als Nachrichten in von Ihnen konfigurierten Pub/Sub-Themen veröffentlichen. Sie können diese Benachrichtigungen für ein Pub/Sub-Abo empfangen, Dienste von Drittanbietern einbinden und nach den Benachrichtigungstypen filtern, die Sie erhalten möchten.

Entsprechende Produkte

Alle

Zugehörige NIST-800-53-Kontrollen
  • SI-5
Zugehörige Einstellungen für das CRI-Profil
  • PR.IP-1.4
Weitere Informationen

Gruppen für wichtige Kontakte konfigurieren

Implementierung Erforderlich
Beschreibung

Konfigurieren Sie wichtige Kontakte, damit wichtige Benachrichtigungen an einen überwachten Gruppenalias oder eine Mailingliste gesendet werden.

Google sendet wichtige Sicherheitswarnungen (z. B. bei einem potenziellen Kontodiebstahl) an die E‑Mail-Adressen, die als wichtige Kontakte aufgeführt sind. Wenn die E-Mail-Adresse einer Person für diesen Zweck verwendet wird, wird die Benachrichtigung verpasst, wenn diese Person nicht verfügbar ist oder das Unternehmen verlassen hat.

Wenn Sie eine überwachte Gruppen-E-Mail-Adresse verwenden, werden diese zeitkritischen Benachrichtigungen an ein aktives Team gesendet, das schnell reagieren kann.

Entsprechende Produkte

Resource Manager

Pfad essentialcontacts.googleapis.com/Contact
Operator Ist festgelegt
Typ String
Zugehörige NIST-800-53-Kontrollen
  • IR-4
Zugehörige Einstellungen für das CRI-Profil
  • PR.IP-1.4
Weitere Informationen

Abrechnungsanomalien im Blick behalten

Implementierung Erforderlich
Beschreibung

Mit der Funktion für Abrechnungsanomalien in Cloud Billing können Sie alle Spitzen oder Abweichungen bei den erwarteten Ausgaben im Blick behalten.

Ein plötzlicher, unerwarteter Anstieg der Cloud-Rechnung ist ein wichtiger Indikator für eine Sicherheitsverletzung. Unerwartete Abrechnungsspitzen werden manchmal durch Angreifer verursacht, die sich Zugriff verschafft haben und Ressourcen für unbefugte Aktivitäten nutzen.

Wenn Sie die Erkennung von Abrechnungsanomalien aktivieren, erhalten Sie ein wichtiges Frühwarnsystem, mit dem Sie verdächtige Aktivitäten automatisch kennzeichnen können.

Entsprechende Produkte

Cloud Billing

Zugehörige NIST-800-53-Kontrollen
  • AU-6
Zugehörige Einstellungen für das CRI-Profil
  • DE.AE-1.1
Weitere Informationen

Logs zur langfristigen Speicherung in eine Logsenke exportieren

Implementierung Erforderlich
Beschreibung

Erstellen Sie eine Logsenke, um Logs für Ihre Sicherheitsmonitoring-Lösung zu exportieren, und legen Sie den Aufbewahrungszeitraum entsprechend Ihren Anforderungen fest.

Die standardmäßigen Aufbewahrungsfristen für Logs sind oft nicht lang genug, um die Anforderungen von 1 bis 7 Jahren zu erfüllen, die durch Compliance-Vorschriften wie PCI oder HIPAA vorgeschrieben sind.

Das Erstellen einer Logsenke zum Exportieren von Logs an einen Ort für die Langzeitspeicherung ist unerlässlich, um bestimmte rechtliche und regulatorische Verpflichtungen zu erfüllen. Mit Logsenken können Sie Protokolle auch an ein zentrales Sicherheitsmonitoring-System senden, um erweiterte Bedrohungen zu erkennen.

Entsprechende Produkte

Cloud Logging

Pfad logging.googleapis.com/LogSink/disabled
Operator Ist
Wert

False

Typ Boolesch
Zugehörige NIST-800-53-Kontrollen
  • AU-9
Zugehörige Einstellungen für das CRI-Profil
  • PR.DS-4.1
Weitere Informationen

Audit-Logs zum Datenzugriff aktivieren

Google-Einstellungs-ID COM-CO-7.2
Implementierung Für bestimmte Anwendungsfälle empfohlen
Beschreibung

Wenn Sie nachverfolgen möchten, wer auf Daten in Ihrer Cloud de Confiance by S3NS -Umgebung zugegriffen hat, aktivieren Sie Audit-Logs zum Datenzugriff. In diesen Logs werden API-Aufrufe aufgezeichnet, mit denen Nutzerdaten gelesen, erstellt oder geändert werden, sowie API-Aufrufe, mit denen Ressourcenkonfigurationen gelesen werden.

Wir empfehlen dringend, Audit-Logs zum Datenzugriff für generative KI-Modelle und sensible Daten zu aktivieren, damit Sie prüfen können, wer die Informationen gelesen hat. Wenn Sie Audit-Logs zum Datenzugriff verwenden möchten, müssen Sie Ihre eigene benutzerdefinierte Erkennungslogik für bestimmte Aktivitäten wie Super Admin-Anmeldungen einrichten.

Audit-Logs zum Datenzugriff können sehr groß sein. Durch Aktivieren von Datenzugriffslogs können Gebühren für die zusätzliche Lognutzung im Cloud de Confiance -Projekt anfallen.

Entsprechende Produkte

Cloud-Audit-Logs

Zugehörige NIST-800-53-Kontrollen
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Zugehörige Einstellungen für das CRI-Profil
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Weitere Informationen

Abrechnungsbenachrichtigungen konfigurieren

Google-Einstellungs-ID CB-CO-6.1
Implementierung Empfohlen
Beschreibung

Sie können Cloud Billing-Budgets erstellen, um alle Ihre Cloud de Confiance by S3NS Gebühren zentral zu überwachen. Damit verhindern Sie, dass Ihre Kosten den Rahmen sprengen. Nachdem Sie einen Budgetbetrag festgelegt haben, legen Sie projektbezogene Schwellenwertregelungen für Budgetbenachrichtigungen fest, um E-Mail-Benachrichtigungen auszulösen. Mithilfe dieser Benachrichtigungen können Sie Ihre Ausgaben im Verhältnis zu Ihrem Budget im Blick behalten. Mit Cloud Billing-Budgets können Sie auch die Antworten zur Kostenkontrolle automatisieren.

Entsprechende Produkte

Cloud Billing

Zugehörige NIST-800-53-Kontrollen
  • SI-4
  • SI-5
Zugehörige Einstellungen für das CRI-Profil
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
  • ID.RA-1.1
  • ID.RA-2.1
  • ID.RA-3.1
  • ID.RA-3.2
  • ID.RA-3.3
Weitere Informationen

Access Transparency-Logs aktivieren

Google-Einstellungs-ID COM-CO-7.7
Implementierung Optional
Beschreibung

In Standard-Logs sehen Sie, was die Nutzer Ihrer Organisation tun. In Access Transparency-Logs sehen Sie, was Google-Supportmitarbeiter tun, wenn sie auf das Konto zugreifen. Dieser Zugriff erfolgt in der Regel nur als Reaktion auf eine Supportanfrage. Access Transparency-Logs bieten einen vollständigen und überprüfbaren Audit-Trail für alle Zugriffe, was für die Einhaltung strenger Compliance- und Data Governance-Anforderungen unerlässlich ist.

Sie können Access Transparency auf Organisationsebene aktivieren.

Entsprechende Produkte

Access Transparency

Zugehörige NIST-800-53-Kontrollen
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Zugehörige Einstellungen für das CRI-Profil
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Weitere Informationen

Abrechnungsdaten für detaillierte Analysen exportieren

Google-Einstellungs-ID CB-CO-6.2
Implementierung Optional
Beschreibung

Für weitere Abrechnungsanalysen können Sie Cloud de Confiance by S3NS Abrechnungsdaten in BigQuery oder eine JSON-Datei exportieren. Sie können beispielsweise detaillierte Daten wie Nutzung, Kostenschätzungen und Preise den ganzen Tag automatisch in ein von Ihnen festgelegtes BigQuery-Dataset exportieren. Anschließend haben Sie die Möglichkeit, über BigQuery auf Ihre Cloud Billing-Daten zuzugreifen und eine detaillierte Analyse auszuführen oder mit einem Tool wie Data Studio Daten zu visualisieren.

Entsprechende Produkte
  • BigQuery Data Transfer Service
  • BigQuery
  • Cloud Billing
Zugehörige NIST-800-53-Kontrollen
  • SI-4
  • SI-5
Zugehörige Einstellungen für das CRI-Profil
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
  • ID.RA-1.1
  • ID.RA-2.1
  • ID.RA-3.1
  • ID.RA-3.2
  • ID.RA-3.3
Weitere Informationen

Schlüssel- und Secret-Verwaltung

Dieser Abschnitt enthält die Best Practices und Richtlinien für Cloud Key Management Service und Secret Manager beim Ausführen von Arbeitslasten aufCloud de Confiance by S3NS.

Daten im Ruhezustand in Cloud de Confianceverschlüsseln

Google-Einstellungs-ID COM-CO-2.1
Implementierung Erforderlich (Standardeinstellung)
Beschreibung

Alle Daten in Cloud de Confiance werden standardmäßig mit NIST-genehmigten Algorithmen verschlüsselt.

Entsprechende Produkte

Cloud de Confiance Standard

Zugehörige NIST-800-53-Kontrollen
  • SC-28
Zugehörige Einstellungen für das CRI-Profil
  • PR.DS-1.1
  • PR.DS-1.2
Weitere Informationen

NIST-genehmigte Algorithmen für die Ver- und Entschlüsselung verwenden

Google-Einstellungs-ID COM-CO-2.4
Implementierung Erforderlich
Beschreibung

Achten Sie darauf, dass im Cloud Key Management Service (Cloud KMS) nur NIST-genehmigte Algorithmen zum Speichern vertraulicher Schlüssel in der Umgebung verwendet werden. Diese Steuerung sorgt für eine sichere Schlüsselverwendung, indem nur NIST-genehmigte Algorithmen und Sicherheitsmaßnahmen verwendet werden. Das Feld CryptoKeyVersionAlgorithm ist eine bereitgestellte Zulassungsliste.

Entfernen Sie Algorithmen, die nicht den Richtlinien Ihrer Organisation entsprechen.

Entsprechende Produkte

Cloud KMS

Pfad cloudkms.projects.locations.keyRings.cryptoKeys/versionTemplate.algorithm
Operator in
Wert
  • RSA_SIGN_PSS_2048_SHA256
  • RSA_SIGN_PSS_3072_SHA256
  • RSA_SIGN_PSS_4096_SHA256
  • RSA_DECRYPT_OAEP_2048_SHA256
  • RSA_DECRYPT_OAEP_4096_SHA256
  • RSA_DECRYPT_OAEP_2048_SHA1
  • RSA_DECRYPT_OAEP_4096_SHA1
Typ String
Zugehörige NIST-800-53-Kontrollen
  • SC-12
  • SC-13
Zugehörige Einstellungen für das CRI-Profil
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Weitere Informationen

Zweck für Cloud KMS-Schlüssel festlegen

Google-Einstellungs-ID COM-CO-2.5
Implementierung Erforderlich
Beschreibung

Legen Sie den Zweck für Cloud KMS-Schlüssel auf ENCRYPT_DECRYPT fest, damit Schlüssel nur zum Ver- und Entschlüsseln von Daten verwendet werden. Diese Steuerung blockiert andere Funktionen wie das Signieren und sorgt dafür, dass Schlüssel nur für den vorgesehenen Zweck verwendet werden. Wenn Sie Schlüssel für andere Funktionen verwenden, sollten Sie diese Anwendungsfälle validieren und in Erwägung ziehen, zusätzliche Schlüssel zu erstellen.

Entsprechende Produkte

Cloud KMS

Pfad cloudkms.projects.locations.keyRings.cryptoKeys/purpose
Operator ==
Wert

ENCRYPT_DECRYPT

Typ String
Zugehörige NIST-800-53-Kontrollen
  • SC-12
  • SC-13
Zugehörige Einstellungen für das CRI-Profil
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Weitere Informationen

Sorgen Sie dafür, dass die CMEK-Einstellungen für sichere BigQuery-Data-Warehouses geeignet sind

Google-Einstellungs-ID COM-CO-2.6
Implementierung Erforderlich
Beschreibung

Das Schutzniveau gibt an, wie kryptografische Vorgänge ausgeführt werden. Nachdem Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel (Customer-Managed Encryption Key, CMEK) erstellt haben, können Sie das Schutzniveau nicht mehr ändern. Folgende Schutzniveaus werden unterstützt:

  • SOFTWARE:Kryptografische Vorgänge werden in Software ausgeführt.
  • HSM:Kryptografische Vorgänge werden in einem Hardware-Sicherheitsmodul (HSM) ausgeführt.
  • EXTERN:Kryptografische Vorgänge werden mit einem Schlüssel ausgeführt, der in einem externen Schlüsselverwaltungssystem gespeichert ist, das über das Internet mit Cloud de Confiance verbunden ist. Auf symmetrische Verschlüsselung und asymmetrische Signierung beschränkt.
  • EXTERNAL_VPC::Kryptografische Vorgänge werden mit einem Schlüssel ausgeführt, der in einem externen Schlüsselverwaltungssystem gespeichert ist, das über ein VPC-Netzwerk (Virtual Private Cloud) mit Cloud de Confiance verbunden ist. Auf symmetrische Verschlüsselung und asymmetrische Signierung beschränkt.
Entsprechende Produkte
  • Cloud KMS
  • BigQuery
Pfad cloudkms.projects.locations.keyRings.cryptoKeys/primary.protectionLevel
Operator in
Wert

[]

Typ String
Zugehörige NIST-800-53-Kontrollen
  • SC-12
  • SC-13
Zugehörige Einstellungen für das CRI-Profil
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Weitere Informationen

Verschlüsselungsschlüssel alle 90 Tage rotieren

Google-Einstellungs-ID COM-CO-2.7
Implementierung Erforderlich
Beschreibung

Achten Sie darauf, dass der Rotationszeitraum Ihrer Cloud KMS-Schlüssel auf 90 Tage festgelegt ist. Es empfiehlt sich, Ihre Sicherheitsschlüssel in regelmäßigen Abständen zu rotieren. Mit dieser Steuerung wird die Schlüsselrotation für Schlüssel erzwungen, die mit HSM-Diensten erstellt werden.

Wenn Sie diesen Rotationszeitraum erstellen, sollten Sie auch geeignete Richtlinien und Verfahren für die sichere Erstellung, Löschung und Änderung von Schlüsselmaterial erstellen, damit Sie Ihre Informationen schützen und die Verfügbarkeit sicherstellen können. Dieser Zeitraum muss den Unternehmensrichtlinien für die Schlüsselrotation entsprechen.

Entsprechende Produkte

Cloud KMS

Pfad cloudkms.projects.locations.keyRings.cryptoKeys/rotationPeriod
Operator <=
Wert

90

Typ int32
Zugehörige NIST-800-53-Kontrollen
  • SC-12
  • SC-13
Zugehörige Einstellungen für das CRI-Profil
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Weitere Informationen

Automatische Secret-Rotation einrichten

Google-Einstellungs-ID SM-CO-6.2
Implementierung Erforderlich
Beschreibung
Rotieren Sie Secrets automatisch und halten Sie Notfallrotationsverfahren im Fall eines Übergriffs bereit.
Entsprechende Produkte

Secret Manager

Zugehörige NIST-800-53-Kontrollen
  • SC-12
  • SC-13
Zugehörige Einstellungen für das CRI-Profil
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Weitere Informationen

Verwaltete Verschlüsselungsstrategie erstellen

Implementierung Erforderlich
Beschreibung

Erstellen Sie eine Verschlüsselungsverwaltungsstrategie mit Cloud Key Management Service (Cloud KMS) mit Autokey, Cloud External Key Manager (Cloud EKM) oder beidem. Mit dieser Strategie kann Ihre Organisation ihre eigenen Verschlüsselungsschlüssel verwenden und verwalten, um Ihre spezifischen Anforderungen zu erfüllen. Wenn Sie Ihre eigenen Verschlüsselungsschlüssel verwenden, haben Sie eine detaillierte, prüfbare Kontrolle über den Datenzugriff. Sie können den Zugriff auf Daten sofort blockieren, indem Sie den Schlüssel deaktivieren.

Entsprechende Produkte
  • Cloud KMS
  • Cloud EKM
Zugehörige NIST-800-53-Kontrollen
  • SC-12
Zugehörige Einstellungen für das CRI-Profil
  • PR.DS-1.1
Weitere Informationen

CMEK für Pub/Sub-Nachrichten verwenden

Google-Einstellungs-ID PS-CO-6.1
Implementierung Empfohlen
Beschreibung
Wenn Sie kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK) für Pub/Sub aktivieren, haben Sie mehr Kontrolle über die Verschlüsselungsschlüssel, die Pub/Sub zum Schutz Ihrer Nachrichten verwendet. Auf der Anwendungsebene verschlüsselt Pub/Sub eingehende Nachrichten einzeln, sobald sie empfangen werden. Bevor Pub/Sub Nachrichten für ein Abo veröffentlicht, werden sie mit dem neuesten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) verschlüsselt, der für das Thema generiert wurde. Pub/Sub entschlüsselt die Nachrichten kurz vor der Zustellung an Abonnenten. Pub/Sub verwendet ein Cloud de Confiance by S3NS -Dienstkonto für den Zugriff auf Cloud Key Management Service. Das Dienstkonto wird für jedes Projekt intern von Pub/Sub verwaltet und ist in Ihrer Liste der Dienstkonten nicht sichtbar.
Entsprechende Produkte
  • Cloud KMS
  • Pub/Sub
Zugehörige NIST-800-53-Kontrollen
  • SC-12
  • SC-13
Zugehörige Einstellungen für das CRI-Profil
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Weitere Informationen

Speicherort von kundenverwalteten Verschlüsselungsschlüsseln einschränken

Google-Einstellungs-ID COM-CO-2.2
Implementierung Empfohlen
Beschreibung

Mit der Einschränkung für Organisationsrichtlinien Einschränken, welche Projekte KMS-CryptoKeys für CMEK bereitstellen können (gcp.restrictCmekCryptoKeyProjects) können Sie definieren, in welchen Projekten kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs) gespeichert werden können. Mit dieser Einschränkung können Sie die Verwaltung von Verschlüsselungsschlüsseln zentralisieren. Wenn ein ausgewählter Schlüssel diese Einschränkung nicht erfüllt, schlägt die Ressourcenerstellung fehl.

Zum Ändern dieser Einschränkung benötigen Administratoren die IAM-Rolle Administrator für Organisationsrichtlinien (roles/orgpolicy.policyAdmin).

Wenn Sie eine zweite Schutzebene hinzufügen möchten, z. B. „Bring Your Own Key“, ändern Sie diese Einschränkung so, dass sie die Schlüsselnamen des aktivierten CMEK darstellt.

Produktspezifische Informationen:

  • In der Gemini Enterprise Agent Platform speichern Sie Ihre Schlüssel im Projekt KEY PROJECTS.
Entsprechende Produkte
  • Cloud KMS
  • Unternehmensrichtlinien
Pfad constraints/gcp.restrictCmekCryptoKeyProjects
Operator notexists
Wert

KEY PROJECTS

Typ String
Zugehörige NIST-800-53-Kontrollen
  • SC-12
  • SC-13
Zugehörige Einstellungen für das CRI-Profil
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Weitere Informationen

CMEK für Cloud de Confiance -Dienste verwenden

Google-Einstellungs-ID COM-CO-2.3
Implementierung Empfohlen
Beschreibung

Wenn Sie mehr Kontrolle über Schlüsselvorgänge benötigen, als Google Cloud-powered encryption keys zulässt, können Sie kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEKs) verwenden. Diese Schlüssel werden mit Cloud KMS erstellt und verwaltet. Speichern Sie die Schlüssel als Softwareschlüssel, in einem HSM-Cluster oder in einem externen Schlüsselverwaltungssystem.

Verschlüsselungs- und Entschlüsselungsraten für Cloud KMS unterliegen Kontingenten.

Cloud Storage-Besonderheiten

In Cloud Storage können Sie CMEKs für einzelne Objekte verwenden oder Ihre Cloud Storage-Buckets so konfigurieren, dass ein CMEK standardmäßig für alle neuen Objekte verwendet wird, die einem Bucket hinzugefügt werden. Wenn Sie einen vom Kunden verwalteten Verschlüsselungsschlüssel verwenden, wird ein Objekt von Cloud Storage zum Zeitpunkt der Speicherung in einem Bucket mit dem Schlüssel verschlüsselt. Das Objekt wird während der Speicherung automatisch von Cloud Storage entschlüsselt, wenn es für Anfragende bereitgestellt wird.

Bei der Verwendung von CMEKs mit Cloud Storage gelten die folgenden Einschränkungen:

  • Sie können ein Objekt nicht mit einem CMEK verschlüsseln, indem Sie seine Metadaten aktualisieren. Fügen Sie den Schlüssel stattdessen hinzu, während Sie das Objekt neu schreiben.
  • Cloud Storage verwendet den Befehl „Objekte aktualisieren“, um Verschlüsselungsschlüssel für Objekte festzulegen, aber der Befehl schreibt das Objekt als Teil der Anfrage neu.
  • Sie müssen den Cloud KMS-Schlüsselbund am selben Ort wie die Daten erstellen, die Sie verschlüsseln möchten. Wenn sich Ihr Bucket beispielsweise in us-east1 befindet, muss jeder Schlüsselbund, der zum Verschlüsseln von Objekten in diesem Bucket verwendet wird, ebenfalls in us-east1 erstellt werden.
  • Für die meisten Dual-Regionen müssen Sie den Cloud KMS-Schlüsselbund in der zugehörigen Multiregion erstellen. Wenn sich Ihr Bucket beispielsweise im Paar us-east1, us-west1 befindet, muss jeder Schlüsselbund, der zum Verschlüsseln von Objekten in diesem Bucket verwendet wird, in der US-Multiregion erstellt werden.
  • Für die vordefinierten Dual-Regionen asia1, eur4 und nam4 müssen Sie den Schlüsselbund in derselben vordefinierten Dual-Region erstellen.
  • Die CRC32C-Prüfsumme und der MD5-Hash von Objekten, die mit CMEKs verschlüsselt sind, werden nicht zurückgegeben, wenn Objekte mit der JSON API aufgelistet werden.
  • Wenn Sie Tools wie Cloud Storage verwenden, um zusätzliche Metadatenanfragen GET für jedes Verschlüsselungsobjekt auszuführen, um die CRC32C- und MD5-Informationen abzurufen, kann die Auflistung erheblich kürzer werden. Cloud Storage kann den Entschlüsselungsabschnitt von asymmetrischen Schlüsseln, die in Cloud KMS gespeichert sind, nicht verwenden, um relevante Objekte automatisch auf dieselbe Weise zu entschlüsseln wie CMEKs.
Entsprechende Produkte
  • Cloud KMS
  • Unternehmensrichtlinien
  • Cloud Storage
Pfad constraints/gcp.restrictNonCmekServices
Operator ==
Wert
  • bigquery.googleapis.com
  • storage.googleapis.com
  • aiplatform.googleapis.com
Typ String
Zugehörige NIST-800-53-Kontrollen
  • SC-12
  • SC-13
Zugehörige Einstellungen für das CRI-Profil
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Weitere Informationen

Secrets automatisch replizieren

Google-Einstellungs-ID SM-CO-6.1
Implementierung Empfohlen
Beschreibung
Wählen Sie die automatische Replikationsrichtlinie aus, um Ihre Secrets zu replizieren, es sei denn, Ihre Arbeitslast hat bestimmte Standortanforderungen. Die automatische Richtlinie erfüllt die Verfügbarkeits- und Leistungsanforderungen der meisten Arbeitslasten. Wenn Ihre Arbeitslast bestimmte Standortanforderungen hat, können Sie mit der API die Standorte für die Replikationsrichtlinie auswählen, wenn Sie das Secret erstellen.
Entsprechende Produkte

Secret Manager

Zugehörige NIST-800-53-Kontrollen
  • SC-12
  • SC-13
Zugehörige Einstellungen für das CRI-Profil
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Weitere Informationen

Sicherheitsstatus und Analysen

Dieses Dokument enthält die Best Practices und Richtlinien für Security Command Center beim Ausführen von Arbeitslasten auf Cloud de Confiance by S3NS.

Security Command Center auf Organisationsebene aktivieren

Google-Einstellungs-ID SCC-CO-6.1
Implementierung Erforderlich
Beschreibung
Aktivieren Sie Security Command Center auf Organisationsebene, um zusätzliche Konfigurationen zu vermeiden. Wenn Sie Security Command Center nicht verwenden möchten, müssen Sie eine andere Lösung für das Statusmanagement aktivieren.
Entsprechende Produkte

Security Command Center

Zugehörige NIST-800-53-Kontrollen
  • SI-4
  • SI-5
Zugehörige Einstellungen für das CRI-Profil
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
  • ID.RA-1.1
  • ID.RA-2.1
  • ID.RA-3.1
  • ID.RA-3.2
  • ID.RA-3.3
Weitere Informationen

Benachrichtigungen über Security Command Center konfigurieren

Google-Einstellungs-ID SCC-CO-7.1
Implementierung Empfohlen
Beschreibung
Benachrichtigungen aus dem Security Command Center geben Ihnen Einblick in Ihre Organisation und informieren Sie über Probleme mit Ihren Cloud de Confiance by S3NS -Diensten, damit Sie entsprechende Maßnahmen ergreifen können. Sie können in Cloud Logging Benachrichtigungen einrichten, um Benachrichtigungen zu Fehlern zu erhalten, die mit dem Security Command Center-Dienst-Agent (service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com) zusammenhängen.
Entsprechende Produkte
  • Security Command Center
  • Logging
Zugehörige NIST-800-53-Kontrollen
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Zugehörige Einstellungen für das CRI-Profil
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Weitere Informationen

Nächste Schritte