במסמך הזה מפורטות שיטות מומלצות והנחיות לבניית בסיס מאובטח לארגון כשמריצים עומסי עבודה שמשתמשים ב-Cloud de Confiance by S3NS. בסיס מאובטח לארגון כולל אמצעי בקרה ל:
אימות והרשאה
בקטע הזה מפורטות שיטות מומלצות והנחיות לניהול זהויות והרשאות גישה (IAM) ול-Cloud Identity כשמריצים עומסי עבודה ב- Cloud de Confiance by S3NS.
השבתה של הענקת IAM לחשבונות שירות שמוגדרים כברירת מחדל באופן אוטומטי
| מזהה הבקרה של Google | IAM-CO-4.1 |
|---|---|
| הטמעה | חובה |
| תיאור | משתמשים באילוץ בוליאני כברירת מחדל, מערכות מסוימות מעניקות הרשאות רחבות מדי לחשבונות אוטומטיים, וזה עלול להוות סיכון אבטחה. לדוגמה, אם לא אוכפים את האילוץ הזה ויוצרים חשבון שירות שמוגדר כברירת מחדל, חשבון השירות מקבל אוטומטית את התפקיד 'עריכה' ( |
| מוצרים רלוונטיים |
|
| נתיב | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
| אופרטור | הוא |
| ערך |
|
| סוג | בוליאני |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
חסימת היצירה של מפתחות חיצוניים לחשבון שירות
| מזהה הבקרה של Google | IAM-CO-4.2 |
|---|---|
| הטמעה | חובה |
| תיאור | משתמשים באילוץ הבוליאני |
| מוצרים רלוונטיים |
|
| נתיב | constraints/iam.disableServiceAccountKeyCreation |
| אופרטור | הוא |
| ערך |
|
| סוג | בוליאני |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
חסימת העלאות של מפתחות לחשבונות שירות
| מזהה הבקרה של Google | IAM-CO-4.3 |
|---|---|
| הטמעה | חובה |
| תיאור | משתמשים באילוץ הבוליאני |
| מוצרים רלוונטיים |
|
| נתיב | constraints/iam.disableServiceAccountKeyUpload |
| אופרטור | הוא |
| ערך |
|
| סוג | בוליאני |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגדרת הפרדת תפקידים לאדמינים של מדיניות הארגון
| מזהה הבקרה של Google | OPS-CO-6.1 |
|---|---|
| הטמעה | חובה |
| תיאור | מקצים את התפקיד Organization Policy Administrator (אדמין מדיניות ארגונית) (
roles/orgpolicy.policyAdmin) לקבוצות שאחראיות על מצב האבטחה של הארגון. Cloud de Confiance by S3NS כדי למנוע יצירת משאבים שמפירים את מדיניות האבטחה, אל תקצו את התפקיד הזה לבעלי פרויקטים. |
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הפעלת אימות דו-שלבי בחשבונות סופר-אדמין
| מזהה הבקרה של Google | CI-CO-6.1 |
|---|---|
| הטמעה | חובה |
| תיאור | Google ממליצה להשתמש במפתחות אבטחה Titan לאימות דו-שלבי (2SV) בחשבונות סופר-אדמין. עם זאת, בתרחישי שימוש שבהם זה לא אפשרי, מומלץ להשתמש במפתח אבטחה אחר כחלופה. |
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
אכיפת אימות דו-שלבי ביחידה הארגונית של הסופר-אדמין
| מזהה הבקרה של Google | CI-CO-6.2 |
|---|---|
| הטמעה | חובה |
| תיאור | לאכוף אימות דו-שלבי (2SV) ביחידה ארגונית (OU) ספציפית או בכל הארגון. מומלץ ליצור יחידה ארגונית לסופר-אדמינים ולאכוף אימות דו-שלבי ביחידה הארגונית הזו. |
| מוצרים רלוונטיים |
Cloud Identity |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
יצירת כתובת אימייל בלעדית לסופר-אדמין הראשי
| מזהה הבקרה של Google | CI-CO-6.4 |
|---|---|
| הטמעה | חובה |
| תיאור | יוצרים כתובת אימייל שלא ספציפית למשתמש מסוים כחשבון הראשי של סופר-אדמין ב-Cloud Identity.
|
| מוצרים רלוונטיים |
Cloud Identity |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
יצירה של חשבונות אדמין מיותרים
| מזהה הבקרה של Google | CI-CO-6.7 |
|---|---|
| הטמעה | חובה |
| תיאור | אין סופר-אדמין יחיד או אדמין ארגוני. יוצרים חשבון אדמין אחד או יותר (עד 20) לגיבוי. אם יש רק סופר-אדמין אחד או אדמין ארגוני אחד, יכול להיות שתהיה בעיה להיכנס לחשבון. במצב כזה יש גם סיכון גבוה יותר, כי אדם אחד יכול לבצע שינויים בפלטפורמה, בלי פיקוח. |
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
שימוש ב-Privileged Access Manager
| מזהה הבקרה של Google | GCVE-CO-3.2 |
|---|---|
| הטמעה | חובה |
| תיאור | משתמשים ב-Privileged Access Manager כדי לנהל הרשאות גישה מיוחדות. לכל שאר סוגי הגישה, כדאי להשתמש בקבוצות גישה, להגדיר שחברות בקבוצות תפוג אוטומטית ולהטמיע תהליך עבודה לאישור חברות בקבוצות. שימוש במודל של הרשאות מינימליות מאפשר לכם לספק גישה רק כשצריך, למשאבים שנדרשים. השימוש בתפקידים מוגדרים מראש מפשט את השימוש ומצמצם את התרחבות ההרשאות שנגרמת בגלל תפקידים בהתאמה אישית, כך שלא צריך לדאוג לניהול מחזור החיים של התפקיד. |
| מוצרים רלוונטיים |
ניהול זהויות והרשאות גישה (IAM) |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגדרת מקור האמת של הזהויות
| הטמעה | חובה |
|---|---|
| תיאור | מחליטים מה יהיה מקור המהימנות להקצאת הרשאות לזהויות של משתמשים מנוהלים. הדפוסים כוללים יצירת זהויות משתמשים ב-Cloud Identity, סנכרון זהויות מספק זהויות קיים או שימוש באיחוד שירותי אימות הזהות של כוח העבודה. |
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
אכיפת כללי מדיניות לגבי סיסמאות חזקות
| הטמעה | חובה |
|---|---|
| תיאור | אוכפים סיסמאות חזקות וייחודיות לכל חשבונות המשתמשים. כדאי להשתמש במנהל סיסמאות. פרטי כניסה חלשים או היעדר פרטי כניסה הם דפוס נפוץ שמשתמשים זדוניים יכולים לנצל בקלות. |
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
שימוש בתפקידים על סמך תפקידים
| הטמעה | חובה |
|---|---|
| תיאור | כדי להקצות הרשאות למשתמשים, משתמשים בתפקידים של ניהול זהויות והרשאות גישה (IAM) שמבוססים על פונקציות של משימות. תפקידים לפי תחומי אחריות הם תפקידים מוגדרים מראש שמאפשרים לאדמינים לספק קבוצה של הרשאות שמוגבלת לתחום אחריות מסוים, וכך לשפר את הפרודוקטיביות ולצמצם את הצורך בהתכתבות כדי לבקש הרשאות. כדי להתאים טוב יותר לדרישות של הארגון, אתם יכולים ליצור תפקידים בהתאמה אישית שמבוססים על תפקידים מוגדרים מראש. |
| מוצרים רלוונטיים |
IAM |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגבלת משתמשים מחוץ לארגון בקבוצות
| הטמעה | חובה |
|---|---|
| תיאור | הגדרת מדיניות לכל הארגון כדי למנוע הוספה של חברים חיצוניים לקבוצות Google. כברירת מחדל, אפשר להוסיף לקבוצות ב-Cloud Identity חשבונות של משתמשים חיצוניים. מומלץ להגדיר את הגדרות השיתוף כך שבעלי קבוצות לא יוכלו להוסיף חברים מחוץ לארגון. הערה: ההגבלה הזו לא חלה על חשבון הסופר-אדמין או על אדמינים אחרים שהוקצו להם הרשאות אדמין ב-Google Groups. בגלל שהפדרציה מספק הזהויות שלכם פועלת עם הרשאות אדמין, הגדרות השיתוף של הקבוצה לא חלות על סנכרון הקבוצה הזה. מומלץ לבדוק את אמצעי הבקרה בספק הזהויות ובמנגנון הסנכרון כדי לוודא שמשתמשים שלא שייכים לדומיין לא יתווספו לקבוצות, או להגדיר הגבלות על הקבוצות. |
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגדרת משך יום שימוש באפליקציה
| הטמעה | חובה |
|---|---|
| תיאור | הגדירו את משך הפעילות בשירותים כך שיפוג לפחות פעם ביום. Cloud de Confiance by S3NS השארת חשבון מחובר למשך תקופה ארוכה היא סיכון אבטחתי. הגדרת משך סשן מקסימלי גורמת לסיום הסשן באופן אוטומטי אחרי פרק זמן מוגדר, ומחייבת כניסה מאובטחת חדשה. השיטה הזו מקטינה את הסיכוי שמשתמש זדוני ישתמש בסיסמה גנובה, ומבטיחה שהגישה תאומת מחדש באופן קבוע. ללקוחות חדשים, אורך ברירת המחדל של הסשן הוא 16 שעות, והוא נאכף באופן אוטומטי. יכול להיות שלקוחות שיצרו את Cloud de Confiance by S3NS הארגון שלהם לפני 2023 מוגדרים כברירת מחדל כך שאין צורך לאמת מחדש את הזהות שלהם. בודקים את ההגדרה הזו כדי לוודא שיש לכם מדיניות אימות מחדש עם משך פעילות של סשן בין שעה ל-24 שעות. מדיניות האימות מחדש מבטלת את תוקף טוקן הרענון ומחייבת את המשתמשים לבצע אימות מחדש של ה-CLI של gcloud באופן קבוע באמצעות הסיסמה או מפתח האבטחה שלהם. אורך הסשן של שירותי Cloud de Confiance by S3NS הוא הגדרה נפרדת מאורך הסשן של שירותי Google, ששולטת בסשנים באינטרנט לצורך כניסה לשירותי Google Workspace, אבל לא שולטת באימות מחדש של Cloud de Confiance by S3NS. אם אתם משתמשים בשירותי Google Workspace, צריך להגדיר את אורך הסשן לשני השירותים. |
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
תיקון חשבונות פרטיים לא מנוהלים
| הטמעה | חובה |
|---|---|
| תיאור | אסור לאפשר שימוש בחשבונות פרטיים לא מנוהלים. כדאי לאחד את כל החשבונות הפרטיים הלא מנוהלים, ולשקול פתרון שימנע יצירה של חשבונות פרטיים לא מנוהלים נוספים בדומיין שלכם. חשבונות לקוחות לא מנוהלים לא כפופים לתהליכי הצטרפות, מעבר ועזיבה (JML), ולכן הם יוצרים סיכון לכך שלעובד עדיין תהיה גישה למשאבים שלכם אחרי שהוא יעזוב את העבודה. החשבונות האלה נחשבים גם כחיצוניים מבחינת אמצעי בקרה כמו שיתוף מוגבל לדומיין. |
| מוצרים רלוונטיים |
Cloud Identity |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
אכיפה של אדמינים ייעודיים וקבלת אישור ממספר משתמשים
| הטמעה | חובה |
|---|---|
| תיאור | חשוב לוודא שחשבונות סופר-אדמין נפרדים מחשבונות משתמשים לשימוש יומיומי. חשבונות סופר-אדמין צריכים להיות חשבונות ייעודיים שמשמשים רק לביצוע שינויים חשובים. כדי להגביר את האבטחה, מומלץ להפעיל קבלת אישור ממספר משתמשים לפעולות אדמין. הפעלת אישור ממספר משתמשים (MPA) מחייבת אישור של שני אדמינים כדי לבצע פעולות רגישות. כך אפשר למנוע ממבצעי מתקפות לפגוע בחשבון אדמין ולחסום את הגישה של משתמשים אחרים עם הרשאת אדמין. |
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הפעלה של אימות רב-גורמי לכל חשבונות Google ולכל משתמשי Cloud Identity
| מזהה הבקרה של Google | CI-CO-6.1 |
|---|---|
| הטמעה | חובה |
| תיאור | הפעילו אימות רב-גורמי (MFA), שנקרא גם אימות דו-שלבי (2SV), לכל חשבונות Google ולכל המשתמשים ב-Cloud Identity, ולא רק לאדמינים ראשיים. אימות דו-שלבי לסופר-אדמינים מופעל כברירת מחדל. אימות רב-גורמי מוסיף עוד שכבת הגנה, כי סיסמאות לבד לרוב לא מספיקות כאמצעי אבטחה. |
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
ביטול תפקידי ברירת מחדל של יוצרים
| הטמעה | חובה |
|---|---|
| תיאור | מסירים את התפקידים Project Creator ו-Billing Account Creator שמוקצים כברירת מחדל לכל הגורמים בארגון חדש. בארגונים חדשים, התפקידים 'יצירת פרויקטים' ו'יצירת חשבון לחיוב' מוקצים לכל הזהויות המנוהלות של המשתמשים בדומיין. התפקידים האלה שימושיים להתחלה, אבל ההגדרה הזו לא מיועדת לסביבות ייצור. אם מאפשרים לחשבונות לחיוב להתרבות, זה מוביל להגדלת התקורה הניהולית ועלול לגרום לבעיות טכניות כשמפצלים שירותים בין כמה חשבונות לחיוב. אם מאפשרים יצירת פרויקטים חופשית, יכול להיות שייווצרו פרויקטים שלא עומדים בדרישות של כללי הממשל. במקום זאת, צריך להסיר את התפקידים האלה וליצור תהליך ליצירת פרויקטים כדי לבקש פרויקטים חדשים ולשייך אותם לחיוב. |
| מוצרים רלוונטיים |
IAM |
| נתיב | resourcemanager.organizations/iamPolicy.bindings |
| אופרטור | not_contains |
| ערך |
|
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
החלפת מפתחות של חשבונות שירות
| הטמעה | חובה |
|---|---|
| תיאור | אם אתם חייבים להשתמש במפתחות של חשבונות שירות, אתם צריכים להחליף את המפתחות לפחות פעם אחת כל 90 יום. מרווח החלפה מגביל את משך הזמן שלתוקף יכולה להיות גישה למערכת. אם לא מגדירים מרווח רוטציה, לתוקף תהיה גישה לנצח. במקרים שבהם אפשר, מומלץ להשתמש באיחוד שירותי אימות הזהות של עומסי עבודה במקום במפתחות של חשבונות שירות. |
| מוצרים רלוונטיים |
IAM |
| נתיב | constraints/iam.serviceAccountKeyExpiryHours |
| אופרטור | => |
| ערך |
|
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
שימוש באיחוד שירותי אימות הזהויות של עומסי עבודה
| הטמעה | חובה |
|---|---|
| תיאור | משתמשים באיחוד שירותי אימות הזהות של עומסי עבודה כדי לאפשר למערכות CI/CD ולעומסי עבודה שפועלים בעננים אחרים לבצע אימות ל- Cloud de Confiance by S3NS. איחוד שירותי אימות הזהות של עומסי עבודה מאפשר לעומסי עבודה שפועלים מחוץ ל- Cloud de Confiance לעבור אימות בלי שנדרש מפתח של חשבון שירות. איחוד שירותי אימות הזהות של עומסי עבודה מאפשר לכם להימנע משימוש במפתחות של חשבונות שירות ובפרטי כניסה אחרים לטווח ארוך, וכך לצמצם את הסיכון לדליפת פרטי כניסה. |
| מוצרים רלוונטיים |
IAM |
| נתיב | iam.googleapis.com/WorkloadIdentityPool |
| אופרטור | מוגדר |
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
חסימת שחזור עצמאי של חשבונות סופר-אדמין
| מזהה הבקרה של Google | CI-CO-6.3 |
|---|---|
| הטמעה | חובה |
| תיאור | כברירת מחדל, האפשרות לשחזור עצמי של חשבון סופר-אדמין מושבתת אצל לקוחות חדשים. עם זאת, יכול להיות שההגדרה הזו מופעלת אצל לקוחות קיימים. השבתת ההגדרה הזו עוזרת לצמצם את הסיכון שטלפון שנפרץ, אימייל שנפרץ או מתקפת הנדסה חברתית יאפשרו לתוקף לקבל הרשאות סופר-אדמין בסביבה שלכם. כדאי לתכנן תהליך פנימי שבו סופר-אדמין יכול לפנות לסופר-אדמין אחר בארגון אם הוא איבד את הגישה לחשבון שלו, ולוודא שכל הסופר-אדמינים מכירים את התהליך לשחזור חשבון בעזרת התמיכה. כדי להשבית את התכונה, עוברים להגדרות שחזור החשבון במסוף Google Admin. |
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגדרה של זמן קצוב לתפוגה של סשן לא פעיל לתרחישי שימוש רגישים
| הטמעה | חובה |
|---|---|
| תיאור | במקרים רגישים, כדאי להגדיר את הזמן הקצוב לתפוגה של סשן לא פעיל ל-15 דקות. תוקפים עלולים להשתמש בסשנים לא פעילים כדי לגנוב פרטי כניסה. |
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
אכיפת השימוש במפתחות אבטחה פיזיים לאדמינים
| הטמעה | חובה |
|---|---|
| תיאור | אם אפשר, כדאי לספק מפתחות אבטחה פיזיים לסופר-אדמינים או לאדמינים של הארגון כגורם אימות שני. חשבונות סופר-אדמין הם היעדים הכי חשובים למתקפות מתוחכמות. מפתחות אבטחה פיזיים מספקים רמת הגנה גבוהה כי הם עמידים בפני פישינג. מפתחות אבטחה פיזיים הם אמצעי ההגנה החזק ביותר מפני השתלטות על חשבונות של האדמינים הכי חשובים, והם מבוססים על מדיניות האימות הדו-שלבי הרגילה שלכם. |
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הפעלת אימות אחרי כניסה יחידה (SSO)
| הטמעה | חובה |
|---|---|
| תיאור | אם אתם משתמשים בספק זהויות חיצוני, צריך להגדיר אימות אחרי כניסה יחידה. הפעלה של שכבת בקרה נוספת על סמך ניתוח רמת הסיכון של הכניסה לחשבון Google. אחרי שמחילים את ההגדרה הזו, יכול להיות שיוצגו למשתמשים אתגרי אימות זהות נוספים לכניסה לחשבון שמבוססים על רמת הסיכון, אם Google תקבע שכניסת משתמש לחשבון היא חשודה. |
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הפעלת מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)
| הטמעה | חובה |
|---|---|
| תיאור | הפעלה של כללי מדיניות של גבולות גישה של ישויות (PAB) כדי להגביל את הגישה של הישויות ולעזור בהגנה מפני פישינג וזליגת נתונים. כדי להימנע ממתקפות פישינג חיצוניות, צריך להפעיל מדיניות PAB בארגון. ה-PAB משפרים את האבטחה על ידי צמצום היקף ההתקפה עם זהות שנפרצה, והם גם עוזרים למנוע התקפות פישינג חיצוניות והתקפות אחרות של דליפת נתונים. |
| מוצרים רלוונטיים |
IAM |
| נתיב | iam.googleapis.com/PrincipalAccessBoundaryPolicy |
| אופרטור | מוגדר |
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הטמעה של תגים להקצאה יעילה של מדיניות IAM ומדיניות הארגון
| מזהה הבקרה של Google | IAM-CO-6.1 |
|---|---|
| הטמעה | מומלץ |
| תיאור | תגים מאפשרים ליצור הערות למשאבים, ובמקרים מסוימים להגדיר תנאי לאישור או לדחייה של כללי מדיניות אם תג ספציפי מצורף או לא מצורף למשאב. אתם יכולים להשתמש בתגים ובאכיפה מותנית של כללי מדיניות כדי לשלוט בצורה פרטנית בהיררכיית המשאבים. |
| מוצרים רלוונטיים |
מנהל המשאבים |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
ביקורת על שינויים ב-IAM שקשורים לסיכון גבוה
| מזהה הבקרה של Google | IAM-CO-7.1 |
|---|---|
| הטמעה | מומלץ |
| תיאור | אפשר להשתמש ביומני הביקורת של Cloud כדי לעקוב אחרי פעילות בסיכון גבוה, כמו הענקת תפקידים בסיכון גבוה לחשבונות, למשל אדמין ארגוני וסופר-אדמין. הגדרת התראות לסוג הפעילות הזה. |
| מוצרים רלוונטיים |
יומני ביקורת של Cloud |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
חסימת הגישה ל-Cloud Shell לחשבונות משתמשים מנוהלים ב-Cloud Identity
| מזהה הבקרה של Google | CI-CO-6.8 |
|---|---|
| הטמעה | מומלץ |
| תיאור | כדי למנוע מתן גישה מוגזמת ל- Cloud de Confiance by S3NS, חוסמים את הגישה ל-Cloud Shell לחשבונות משתמשים מנוהלים ב-Cloud Identity. |
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגדרת בקרת גישה מבוססת-הקשר למסופי Google
| מזהה הבקרה של Google | IAM-CO-8.2 |
|---|---|
| הטמעה | אופציונלי |
| תיאור | באמצעות בקרת גישה מבוססת-הקשר, אפשר ליצור מדיניות אבטחה מפורטת של בקרת גישה לאפליקציות על סמך מאפיינים כמו זהות המשתמש, המיקום, סטטוס האבטחה של המכשיר וכתובת ה-IP. מומלץ להשתמש בבקרת גישה מבוססת-הקשר כדי להגביל את הגישה אל Cloud de Confiance המסוף (https://console.cloud.google.com/) ואל מסוף Google Admin (https://admin.cloud.google.com). |
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
חסימת שחזור עצמאי של חשבונות סופר-אדמין
| מזהה הבקרה של Google | CI-CO-6.3 |
|---|---|
| הטמעה | אופציונלי |
| תיאור | פורץ יכול להשתמש בתהליך השחזור העצמי כדי לאפס את הסיסמאות של סופר-אדמינים. כדי לצמצם את סיכוני האבטחה שקשורים למתקפות Signaling System 7 (SS7), למתקפות החלפת כרטיס SIM או למתקפות פישינג אחרות, מומלץ להשבית את התכונה הזו. כדי להשבית את התכונה, עוברים להגדרות שחזור החשבון במסוף Google Admin.
|
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
השבתה של שירותי Google שלא נמצאים בשימוש
| מזהה הבקרה של Google | CI-CO-6.6 |
|---|---|
| הטמעה | אופציונלי |
| תיאור | באופן כללי, מומלץ להשבית את השירותים שלא תשתמשו בהם.
|
| מוצרים רלוונטיים |
Cloud Identity |
| נתיב | http://admin.google.com > Apps > Additional Google Services |
| אופרטור | הגדרה |
| ערך |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
ארגון
בקטע הזה מפורטות השיטות המומלצות וההנחיות לשימוש בשירות Organization Policy וב-מנהל המשאבים כשמריצים עומסי עבודה ב- Cloud de Confiance by S3NS.
הגבלת גרסאות TLS שנתמכות על ידי ממשקי API של Google
| מזהה הבקרה של Google | COM-CO-1.1 |
|---|---|
| הטמעה | חובה |
| תיאור | Cloud de Confiance תומך במספר גרסאות של פרוטוקול TLS. כדי לעמוד בדרישות התאימות, יכול להיות שתרצו לדחות בקשות ללחיצת יד מלקוחות שמשתמשים בגרסאות ישנות יותר של TLS. כדי להגדיר את אמצעי הבקרה הזה, משתמשים באילוץ הגבלת גרסאות TLS ( בגלל אופן הפעולה של הערכת ההיררכיה של מדיניות הארגון, ההגבלה על גרסת TLS חלה על צומת המשאב שצוין ועל כל התיקיות והפרויקטים שלו (צאצאים). לדוגמה, אם תדחו את TLS גרסה 1.0 לארגון, היא תידחה גם לכל הצאצאים שמשתייכים לארגון הזה. אפשר לשנות את ההגבלה על גרסת ה-TLS שעברה בירושה על ידי עדכון מדיניות הארגון במשאב צאצא. לדוגמה, אם מדיניות הארגון שלכם דוחה TLS 1.0 ברמת הארגון, אתם יכולים להסיר את ההגבלה בתיקיית צאצא על ידי הגדרת מדיניות ארגון נפרדת בתיקייה הזו. אם לתיקייה יש צאצאים, המדיניות של התיקייה תחול גם על כל משאב צאצא בגלל ירושת המדיניות. כדי להגביל עוד יותר את גרסת ה-TLS ל-TLS 1.3 בלבד, אפשר להגדיר את המדיניות הזו כך שתגביל גם את גרסת ה-TLS 1.2. אתם צריכים להטמיע את אמצעי הבקרה הזה באפליקציות שאתם מארחים ב- Cloud de Confiance by S3NS. לדוגמה, ברמת הארגון, מגדירים:
|
| מוצרים רלוונטיים |
הכל; מנוהל על ידי Organization Policy Service |
| נתיב | gcp.restrictTLSVersion |
| אופרטור | == |
| ערך |
|
| סוג | String |
| מזהה הבקרה ב-Compliance Manager | RESTRICT_LEGACY_TLS_VERSIONS |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגבלת חשבונות משתמשים מורשים
| מזהה הבקרה של Google | COM-CO-4.1 |
|---|---|
| הטמעה | חובה |
| תיאור | מוודאים שרק זהויות מהארגון שלכם מורשות בסביבת Cloud de Confiance by S3NS . משתמשים באילוץ שיתוף מוגבל לפי דומיינים ( המגבלות האלה עוזרות למנוע מעובדים להעניק גישה לחשבונות חיצוניים שלא נמצאים בשליטת הארגון ולא עומדים בדרישות של מדיניות האבטחה בנושא אימות רב-שלבי (MFA) או ניהול סיסמאות. הבקרה הזו חיונית למניעת גישה לא מורשית, כדי לוודא שאפשר להשתמש רק בזהויות ארגוניות מנוהלות ואמינות. |
| מוצרים רלוונטיים |
|
| נתיב | constraints/iam.allowedPolicyMemberDomains |
| אופרטור | הוא |
| ערך |
|
| סוג | רשימה |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגבלת השימוש בשירות משאבים
| מזהה הבקרה של Google | RM-CO-4.1 |
|---|---|
| הטמעה | חובה |
| תיאור | האילוץ האילוץ הזה מאפשר לארגון ליצור רשימת היתרים של שירותים מאושרים, וכך למנוע מהעובדים להשתמש בשירותים שלא נבדקו. |
| מוצרים רלוונטיים |
|
| נתיב | constraints/gcp.restrictServiceUsage |
| אופרטור | הוא |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגבלת מיקומי משאבים
| מזהה הבקרה של Google | RM-CO-4.2 |
|---|---|
| הטמעה | חובה |
| תיאור | המגבלה על מיקום המשאבים ( ההגבלה הזו מאפשרת לארגון שלכם לוודא שהמשאבים והנתונים שלכם נוצרים ונשמרים רק באזורים גיאוגרפיים ספציפיים שאושרו. |
| מוצרים רלוונטיים |
|
| נתיב | constraints/gcp.resourceLocations |
| אופרטור | הוא |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
Networking
בקטע הזה מפורטות שיטות מומלצות והנחיות לשימוש ב-Virtual Private Cloud (VPC) וב-Cloud DNS כשמריצים עומסי עבודה ב- Cloud de Confiance by S3NS.
חסימה של יצירת רשת ברירת המחדל
| מזהה הבקרה של Google | VPC-CO-6.1 |
|---|---|
| הטמעה | חובה |
| תיאור | האילוץ הבוליאני רשת ברירת המחדל היא רשת ענן וירטואלי פרטי (VPC) במצב אוטומטי, עם כללי חומת אש מאוכלסים מראש של IPv4 כדי לאפשר נתיבי תקשורת פנימיים. באופן כללי, ההגדרה הזו לא מומלצת מבחינת אבטחה בסביבות ייצור. |
| מוצרים רלוונטיים |
|
| נתיב | constraints/compute.skipDefaultNetworkCreation |
| ערך |
|
| סוג | בוליאני |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הפעלת תוספי אבטחה של DNS
| מזהה הבקרה של Google | DNS-CO-6.1 |
|---|---|
| הטמעה | חובה |
| תיאור | תוספי אבטחה של DNS (DNSSEC) הם תכונה של מערכת שמות הדומיין (DNS) שמאמתת תגובות לחיפושים של שמות דומיין. הוא לא מספק הגנה על הפרטיות של השאילתות האלה, אבל הוא מונע מתוקפים לשנות את התשובות לבקשות DNS או להוסיף להן נתונים שגויים. ב-Cloud DNS, אפשר להפעיל את DNSSEC במקומות הבאים:
|
| מוצרים רלוונטיים |
Cloud DNS |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הפעלת גישה פרטית ל-Google
| מזהה הבקרה של Google | GCVE-CO-1.5 |
|---|---|
| הטמעה | חובה |
| תיאור | מפעילים גישה פרטית ל-Google בכל רשתות המשנה. הפעלת גישה פרטית ל-Google מאפשרת לשירותים לגשת Cloud de Confiance by S3NS לשירותים שאין להם כתובות IP חיצוניות. כברירת מחדל, האפשרות 'גישה פרטית ל-Google' לא מופעלת במשאבים חדשים, ונדרשים שלבים נוספים כדי להפעיל אותה באופן מפורש. |
| מוצרים רלוונטיים |
ענן וירטואלי פרטי (VPC) |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הפעלת גישה לשירותים פרטיים לבעלים של שירות מנוהל
| מזהה הבקרה של Google | GCVE-CO-1.6 |
|---|---|
| הטמעה | חובה |
| תיאור | הפעלת גישה לשירותים פרטיים כדי ליצור רשת פרטית בין Cloud de Confiance by S3NS שירותים כמו רשתות מדור קודם של Google Cloud VMware Engine לבין ספקי שירותים כמו Cloud SQL. גישה פרטית לשירותים עוזרת להימנע מחשיפה מיותרת של חיבורי רשת של עומסי עבודה לאינטרנט. |
| מוצרים רלוונטיים |
ענן וירטואלי פרטי (VPC) |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
השבתה של IPv6 אלא אם נדרש
| הטמעה | חובה |
|---|---|
| תיאור | משביתים את היצירה של רשת משנה חיצונית של IPv6, אלא אם נדרש אחרת. כדי לצמצם את שטח הפנים של המתקפה, כדאי להשבית את IPv6 במערכות וברשתות שבהן הוא לא מנוהל באופן פעיל או לא נדרש. בארגונים רבים יש אמצעי בקרה וניטור מתקדמים לאבטחת IPv4, אבל יכול להיות שהכלים וכללי המדיניות שלהם לא מתאימים ל-IPv6, ולכן הם עלולים להיות חשופים לאיומים. הפעלת רשת עם תמיכה בשני הפרוטוקולים גם מוסיפה מורכבות תפעולית, ומחייבת הגדרות ספציפיות ומומחיות כדי לנהל ולפתור בעיות בצורה יעילה. לכן, אם אין לכם סיבה עסקית ברורה להשתמש ב-IPv6, השבתה שלו יכולה לפשט את הסביבה שלכם ולהבטיח שכל התנועה תסונן באופן עקבי באמצעות אסטרטגיית האבטחה הקיימת שלכם ב-IPv4. |
| מוצרים רלוונטיים |
Compute Engine |
| נתיב | constraints/compute.disableVpcExternalIpv6 |
| אופרטור | הוא |
| ערך |
|
| סוג | בוליאני |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגבלת תנועה יוצאת
| הטמעה | חובה |
|---|---|
| תיאור | הגבלת הגישה למקורות חיצוניים, כי כברירת מחדל, כל הגישה מותרת. הגדרת כללי חומת אש ספציפיים לדפוסי תעבורה שצריכים לצאת. לרוב, המערכות מקבלות הרשאה ליצור חיבורים יוצאים לאינטרנט, וזה עלול להוות סיכון אבטחה. מדיניות ברירת מחדל של דחייה חוסמת תנועה יוצאת ומחייבת יצירת כללים ספציפיים רק ליעדים הידועים והנדרשים. |
| מוצרים רלוונטיים |
Cloud Next Generation Firewall |
| נתיב | cloudasset.assets/assetType |
| אופרטור | == |
| ערך |
|
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגבלת גישה נכנסת ליציאות SSH ו-RDP
| הטמעה | חובה |
|---|---|
| תיאור | במידת האפשר, מגבילים את הגישה הנכנסת רק למשאבים ספציפיים ולטווחים של משאבים. אם מוגדר שרת proxy לאימות זהויות (IAP), צריך להגדיר את כללי חומת האש של SSH נכנס ופרוטוקול שולחן עבודה מרוחק (RDP) לטווח כתובות ה-IP של IAP כמקורות. כללי חומת אש מתירניים של SSH ו-RDP מאפשרים מתקפות כוח ברוטלי. במקום זאת, כדאי להשתמש בשרתי Proxy לאימות זהויות (כמו IAP) עבור SSH ו-RDP. Cloud de Confiance by S3NS |
| מוצרים רלוונטיים |
IAP |
| נתיב | cloudasset.assets/assetType |
| אופרטור | == |
| ערך |
|
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הפעלת VPC Service Controls
| הטמעה | חובה |
|---|---|
| תיאור | כדאי להפעיל VPC Service Controls כשכבת הגנה נוספת כדי למנוע אובדן נתונים פוטנציאלי. בעזרת VPC Service Controls אפשר ליצור מתחמי בידוד מסביב למשאבי הענן, למידע אישי רגיש ולרשתות, וכך למנוע זליגת נתונים. גבולות הגזרה לשירות מגבילים את השימוש בפרטי כניסה שנפרצו, כי הם חוסמים בקשות לשירותים מוגבלים שמקורם בנקודות קצה בשליטת התוקף שנמצאות מחוץ לסביבה שלכם. |
| מוצרים רלוונטיים |
VPC Service Controls |
| נתיב | accesscontextmanager.accessPolicies.servicePerimeters/perimeterType |
| אופרטור | == |
| ערך |
|
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
שימוש במדיניות Cloud Armor
| הטמעה | חובה |
|---|---|
| תיאור | באפליקציות שחשופות מאחורי Cloud Load Balancing, אפשר להשתמש במדיניות ברירת המחדל של Google Cloud Armor או להגדיר מדיניות משלכם כדי להוסיף הגנה על רשתות ברמה 3 עד רמה 7 לאפליקציות או לשירותים שפונים כלפי חוץ. כללי מדיניות האבטחה של Cloud Armor עוזרים להגן על האפליקציה באמצעות סינון בשכבה 7. בנוסף, המדיניות הזו בודקת בקשות נכנסות כדי לזהות מתקפות נפוצות באינטרנט או מאפיינים אחרים בשכבה 7, כדי לחסום תנועה לפני שהיא מגיעה לשירותי הקצה העורפי או לקטגוריות הקצה העורפי עם איזון עומסים. כל מדיניות אבטחה מורכבת מקבוצה של כללים שכוללים מאפיינים משכבה 3 עד שכבה 7. |
| מוצרים רלוונטיים |
Cloud Armor |
| נתיב | compute.backendServices/securityPolicy |
| אופרטור | מוגדר |
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הפעלת ההגבלה של היקף השירות במדיניות הגישה של Access Context Manager
| מזהה הבקרה של Google | COM-CO-8.1 |
|---|---|
| הטמעה | מומלץ לשימוש ב-AI גנרטיבי בתרחישי שימוש |
| תיאור | לכל גבול גזרה לשירות, מוודאים במסוף Cloud de Confiance שהסוג של גבול הגזרה מוגדר כרגיל. |
| מוצרים רלוונטיים |
|
| נתיב | accesscontextmanager.accessPolicies.servicePerimeters/perimeterType |
| אופרטור | == |
| ערך |
|
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגבלת ממשקי API בתוך היקפי שירות של VPC Service Controls
| מזהה הבקרה של Google | COM-CO-8.2 |
|---|---|
| הטמעה | מומלץ לשימוש ב-AI גנרטיבי בתרחישי שימוש |
| תיאור | בכל גבולות גזרה לשירות, משתמשים ב-Access Context Manager כדי לוודא שגבולות הגזרה מגינים על ה-API. |
| מוצרים רלוונטיים |
|
| נתיב | accesscontextmanager.accessPolicies.servicePerimeters/status.restrictedServices |
| אופרטור | Anyof |
| ערך |
|
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
שימוש ב-DNS אזורי
| מזהה הבקרה של Google | DNS-CO-4.1 |
|---|---|
| הטמעה | אופציונלי |
| תיאור | המגבלה הבוליאנית |
| מוצרים רלוונטיים |
מדיניות הארגון |
| נתיב | constraints/compute.setNewProjectDefaultToZonalDNSOnly |
| אופרטור | = |
| ערך |
|
| סוג | בוליאני |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
רישום ביומן, מעקב והתראות
בקטע הזה מפורטות שיטות מומלצות והנחיות לרישום ביומן ולביקורת של שירותים ב- Cloud de Confiance by S3NS ולהגדרת התראות לשירותים כמו חיוב ב-Cloud.
שיתוף יומני ביקורת מ-Cloud Identity
| מזהה הבקרה של Google | CI-CO-6.5 |
|---|---|
| הטמעה | חובה |
| תיאור | אם משתמשים ב-Cloud Identity, משתפים את יומני הביקורת מ-Cloud Identity אל Cloud de Confiance by S3NS. בדרך כלל, יומני ביקורת של פעילות אדמין מ-Google Workspace או מ-Cloud Identity מנוהלים ומוצגים במסוף Google Admin, בנפרד מהיומנים בסביבת Cloud de Confiance . היומנים האלה מכילים מידע שרלוונטי לסביבה שלכם, כמו אירועים של התחברות משתמשים. Cloud de Confiance מומלץ לשתף את יומני הביקורת של Cloud Identity עם סביבת Cloud de Confiance כדי לנהל באופן מרכזי יומנים מכל המקורות. |
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
שימוש ביומני ביקורת
| מזהה הבקרה של Google | COM-CO-7.3 |
|---|---|
| הטמעה | חובה |
| תיאור | שירותיCloud de Confiance כותבים רשומות ביומן הביקורת כדי לענות על השאלות מי עשה מה, איפה ומתי עם משאבי Cloud de Confiance . מפעילים רישום ביומן ביקורת ברמת הארגון. אפשר להגדיר רישום ביומן באמצעות צינור עיבוד הנתונים שבו משתמשים כדי להגדיר את Cloud de Confiance הארגון. |
| מוצרים רלוונטיים |
יומני ביקורת של Cloud |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הפעלת יומני זרימה של VPC
| מזהה הבקרה של Google | COM-CO-7.4 |
|---|---|
| הטמעה | חובה |
| תיאור | ב-VPC Flow Logs מתועם מדגם של תנועות ברשת שנשלחות ממכונות וירטואליות ומתקבלות בהן, כולל מכונות וירטואליות שמשמשות כצמתים של Google Kubernetes Engine (GKE). המדגם הוא בדרך כלל 50% או פחות מהתנועה ברשת ה-VPC. כשמפעילים את VPC Flow Logs, מפעילים את הרישום ביומן לכל המכונות הווירטואליות בתת-רשת. עם זאת, אפשר להקטין את כמות המידע שנכתב ביומן. מפעילים את VPC Flow Logs לכל רשת משנה של VPC. אתם יכולים להגדיר רישום ביומן באמצעות צינור עיבוד נתונים שמשמש ליצירת פרויקט. |
| מוצרים רלוונטיים |
ענן וירטואלי פרטי (VPC) |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הפעלת ניהול כללי חומת אש
| מזהה הבקרה של Google | COM-CO-7.5 |
|---|---|
| הטמעה | חובה |
| תיאור | כברירת מחדל, כללי חומת האש לא כותבים יומנים באופן אוטומטי.רישום ביומן של כללי חומת האש מאפשר לכם לבדוק, לאמת ולנתח את ההשפעות של כללי חומת האש. לדוגמה, אפשר לקבוע אם כלל חומת אש שנועד לדחות תנועה פועל כמצופה. רישום ביומן שימושי גם אם רוצים לדעת כמה חיבורים מושפעים מכלל חומת אש נתון. מפעילים את הרישום ביומן לכל כלל בחומת האש. אפשר להגדיר רישום ביומן באמצעות צינור עיבוד נתונים שמשמש ליצירת חומת אש. |
| מוצרים רלוונטיים |
ענן וירטואלי פרטי (VPC) |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הפעלה של ביקורת על פעילות של אדמינים
| מזהה הבקרה של Google | COM-CO-7.1 |
|---|---|
| הטמעה | חובה |
| תיאור | כברירת מחדל, Cloud de Confiance מאפשרת לכולם להשבית את הביקורת על פעילות האדמין בחשבונות עם הרשאות מיוחדות. יומני הביקורת של פעילות אדמין מכילים רשומות ביומן עבור קריאות ל-API או פעולות אחרות שמשנות את ההגדרות או את המטא-נתונים של משאבים. לדוגמה, ביומנים האלה מתועד מתי משתמשים יוצרים מכונות וירטואליות או משנים הרשאות IAM. יומני הביקורת של פעילות האדמין מכילים רשומות ביומן לגבי יצירה, שינוי ומחיקה של הגבלות של מדיניות הארגון ברמת הארגון, התיקייה והפרויקט. יומני הביקורת Admin Activity תמיד נכתבים, ואי אפשר להגדיר אותם, להחריג אותם או להשבית אותם. גם אם משביתים את Cloud Logging API, עדיין נוצרים יומני ביקורת Admin Activity. מומלץ שהארגון שלכם יגדיר מדיניות ונהלים למעקב אחרי ההתראות האלה, וייצור פעולות או התראות בהתאם למדיניות הגישה של הארגון למעקב אחרי פעילויות של אדמינים. |
| מוצרים רלוונטיים |
יומני ביקורת של Cloud |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הרשמה לעדכוני אבטחה דחופים
| מזהה הבקרה של Google | GKE-CO-1.8 |
|---|---|
| הטמעה | חובה |
| תיאור | כדאי להירשם לקבלת עדכוני אבטחה דחופים לגבי Cloud de Confiance by S3NS שירותים כדי לקבל התראות על נקודות חולשה ואמצעי צמצום סיכונים. כשעלון אבטחה רלוונטי זמין לשירות Cloud de Confiance by S3NS (כמו GKE), השירות יכול לפרסם התראות לגבי האירועים האלה כהודעות בנושאי Pub/Sub שהגדרתם. אתם יכולים לקבל את ההתראות האלה במינוי Pub/Sub, לשלב אותן עם שירותים של צד שלישי ולסנן אותן לפי סוגי ההתראות שאתם רוצים לקבל. |
| מוצרים רלוונטיים |
הכול |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגדרת קבוצות של אנשי קשר חיוניים
| הטמעה | חובה |
|---|---|
| תיאור | כדאי להגדיר את אנשי הקשר החיוניים כדי לוודא שכתובת אימייל כללית או רשימת תפוצה שנמצאות במעקב יקבלו התראות חשובות. Google שולחת התראות אבטחה קריטיות (למשל, פריצה פוטנציאלית לחשבון) לכתובות האימייל שרשומות כאנשי קשר חיוניים. אם כתובת אימייל של אדם פרטי משמשת למטרה הזו, ההתראה לא תתקבל אם האדם הזה לא זמין או עזב את החברה.שימוש בכתובת אימייל קבוצתית שנבדקת באופן קבוע עוזר לוודא שההתראות האלה, שחשוב להגיב עליהן במהירות, מגיעות לצוות פעיל שיכול להגיב במהירות. |
| מוצרים רלוונטיים |
מנהל המשאבים |
| נתיב | essentialcontacts.googleapis.com/Contact |
| אופרטור | מוגדר |
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
מעקב אחרי אנומליות בחיוב
| הטמעה | חובה |
|---|---|
| תיאור | אתם יכולים להשתמש בתכונה 'אנומליות בחיוב' בחיוב ב-Cloud כדי לעקוב אחרי עליות חדות או סטיות בהוצאות הצפויות. עלייה פתאומית ולא צפויה בחשבון הענן היא אינדיקטור עיקרי לפגיעה באבטחה. לפעמים, עלייה חדה ובלתי צפויה בחיובים נגרמת על ידי תוקפים שקיבלו גישה ומשתמשים במשאבים לפעילויות לא מורשות. הפעלת זיהוי אנומליות בחיוב מספקת מערכת אזהרה מוקדמת חיונית, כך שתוכלו לסמן אוטומטית את הפעילות החשודה הזו. |
| מוצרים רלוונטיים |
חיוב ב-Cloud |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
ייצוא יומנים ל-sink ביומן לאחסון לטווח ארוך
| הטמעה | חובה |
|---|---|
| תיאור | יוצרים sink ביומן כדי לייצא יומנים לפתרון שלכם לניטור לצורכי אבטחה, ומגדירים את תקופת השמירה בהתאם לדרישות שלכם. תקופות ברירת המחדל לשמירת יומנים לרוב לא ארוכות מספיק כדי לעמוד בדרישות של 1 עד 7 שנים שנקבעו בתקנות תאימות כמו PCI או HIPAA. כדי לעמוד בהתחייבויות משפטיות ורגולטוריות מסוימות, חשוב ליצור sink ביומן כדי לייצא יומנים למיקום אחסון לטווח ארוך. בנוסף, אפשר להשתמש ב-Log sinks כדי לשלוח יומנים למערכת מרכזית לניטור לצורכי אבטחה, לצורך זיהוי מתקדם של איומים. |
| מוצרים רלוונטיים |
Cloud Logging |
| נתיב | logging.googleapis.com/LogSink/disabled |
| אופרטור | הוא |
| ערך |
|
| סוג | בוליאני |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הפעלת יומני ביקורת של גישה לנתונים
| מזהה הבקרה של Google | COM-CO-7.2 |
|---|---|
| הטמעה | מומלץ בתרחישי שימוש מסוימים |
| תיאור | כדי לעקוב אחרי מי ניגש לנתונים בסביבת Cloud de Confiance by S3NS , צריך להפעיל את יומני הביקורת Data Access. ביומנים האלה מתועדות קריאות ל-API שקוראות, יוצרות או משנות נתוני משתמשים, וגם קריאות ל-API שקוראות הגדרות של משאבים. מומלץ מאוד להפעיל יומני ביקורת של Data Access עבור מודלים של AI גנרטיבי ונתונים רגישים, כדי שתוכלו לבדוק מי קרא את המידע. כדי להשתמש ביומני הביקורת של גישה לנתונים, צריך להגדיר לוגיקה מותאמת אישית משלכם לזיהוי פעילויות ספציפיות, כמו התחברויות של סופר-אדמינים. הנפח של יומני הביקורת Data Access יכול להיות גדול. הפעלה של יומני גישה לנתונים עלולה לגרום לחיוב הפרויקט על השימוש הנוסף ביומנים. Cloud de Confiance |
| מוצרים רלוונטיים |
יומני ביקורת של Cloud |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגדרת התראות לגבי חיוב
| מזהה הבקרה של Google | CB-CO-6.1 |
|---|---|
| הטמעה | מומלץ |
| תיאור | כדי להימנע מ"הפתעות" בחשבון, כדאי ליצור תקציבים בחיוב ב-Cloud וכך לעקוב אחרי כל החיובים ב- Cloud de Confiance by S3NS במקום אחד. אחרי שקובעים סכום לתקציב, מגדירים כללי סף להתראות לגבי התקציב ברמת הפרויקט כדי לקבל התראות באימייל. ההתראות האלה עוזרות לכם לעקוב אחרי ההוצאות ביחס לתקציב. אפשר גם להשתמש בתקציבים לחיוב ב-Cloud כדי ליצור תגובות אוטומטיות לבקרת עלויות. |
| מוצרים רלוונטיים |
חיוב ב-Cloud |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הפעלה של יומני Access Transparency
| מזהה הבקרה של Google | COM-CO-7.7 |
|---|---|
| הטמעה | אופציונלי |
| תיאור | ביומנים רגילים אפשר לראות מה המשתמשים בארגון שלכם עושים, אבל ביומנים של Access Transparency אפשר לראות מה צוות התמיכה של Google עושה כשהוא ניגש לחשבון. הגישה הזו מתבצעת בדרך כלל רק בתגובה לבקשת תמיכה. היומנים של Access Transparency מספקים נתיב ביקורת מלא וניתן לאימות של כל הגישה, וזה חיוני כדי לעמוד בדרישות מחמירות של תאימות וניהול נתונים. אפשר להפעיל את Access Transparency ברמת הארגון. |
| מוצרים רלוונטיים |
Access Transparency |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
ייצוא של נתוני חיוב לניתוח מפורט
| מזהה הבקרה של Google | CB-CO-6.2 |
|---|---|
| הטמעה | אופציונלי |
| תיאור | כדי לבצע ניתוח נוסף של החיוב, אפשר לייצא את Cloud de Confiance by S3NS נתוני החיוב ל-BigQuery או לקובץ JSON. לדוגמה, אתם יכולים לייצא באופן אוטומטי במהלך היום נתונים מפורטים כמו נתוני שימוש, אומדני עלויות ונתוני תמחור למערך נתונים ב-BigQuery שאתם מציינים. אחרי הייצוא אפשר להשתמש ב-BigQuery כדי לקבל ניתוח מפורט של נתוני החיוב ב-Cloud, או להשתמש בכלים כמו Data Studio כדי לראות תרשימים שממחישים את הנתונים. |
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
ניהול מפתחות וסודות
בקטע הזה מפורטות שיטות מומלצות והנחיות לשימוש ב-Cloud Key Management Service וב-Secret Manager כשמריצים עומסי עבודה ב-Cloud de Confiance by S3NS.
הצפנה של נתונים במנוחה ב- Cloud de Confiance
| מזהה הבקרה של Google | COM-CO-2.1 |
|---|---|
| הטמעה | חובה (ברירת מחדל) |
| תיאור | כל הנתונים ב- Cloud de Confiance מוצפנים במצב מנוחה כברירת מחדל באמצעות אלגוריתמים שאושרו על ידי NIST. |
| מוצרים רלוונטיים |
Cloud de Confiance ברירת מחדל |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
שימוש באלגוריתמים שאושרו על ידי NIST להצפנה ולפענוח
| מזהה הבקרה של Google | COM-CO-2.4 |
|---|---|
| הטמעה | חובה |
| תיאור | מוודאים ש-Cloud Key Management Service (Cloud KMS) משתמש רק באלגוריתמים שאושרו על ידי NIST כדי לאחסן מפתחות רגישים בסביבה. הבקרה הזו מבטיחה שימוש מאובטח במפתחות על ידי שימוש רק באלגוריתמים ובאבטחה שאושרו על ידי NIST. השדה להסיר אלגוריתמים שלא עומדים בדרישות המדיניות של הארגון. |
| מוצרים רלוונטיים |
Cloud KMS |
| נתיב | cloudkms.projects.locations.keyRings.cryptoKeys/versionTemplate.algorithm |
| אופרטור | ב- |
| ערך |
|
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגדרת הייעוד של מפתחות Cloud KMS
| מזהה הבקרה של Google | COM-CO-2.5 |
|---|---|
| הטמעה | חובה |
| תיאור | מגדירים את הייעוד של מפתחות Cloud KMS ל- |
| מוצרים רלוונטיים |
Cloud KMS |
| נתיב | cloudkms.projects.locations.keyRings.cryptoKeys/purpose |
| אופרטור | == |
| ערך |
|
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
מוודאים שהגדרות ה-CMEK מתאימות למחסני נתונים מאובטחים ב-BigQuery
| מזהה הבקרה של Google | COM-CO-2.6 |
|---|---|
| הטמעה | חובה |
| תיאור | רמת ההגנה מציינת איך מתבצעות פעולות קריפטוגרפיות. אחרי שיוצרים מפתח הצפנה בניהול הלקוח (CMEK), אי אפשר לשנות את רמת ההגנה. אלה רמות ההגנה הנתמכות:
|
| מוצרים רלוונטיים |
|
| נתיב | cloudkms.projects.locations.keyRings.cryptoKeys/primary.protectionLevel |
| אופרטור | ב- |
| ערך |
|
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
רוטציה של מפתח ההצפנה כל 90 יום
| מזהה הבקרה של Google | COM-CO-2.7 |
|---|---|
| הטמעה | חובה |
| תיאור | מוודאים שתקופת הרוטציה של מפתחות Cloud KMS מוגדרת ל-90 ימים. מומלץ לבצע רוטציה של מפתחות האבטחה במרווחי זמן קבועים. אמצעי הבקרה הזה אוכף רוטציית מפתחות עבור מפתחות שנוצרו באמצעות שירותי HSM. כשיוצרים את תקופת הרוטציה הזו, צריך גם ליצור מדיניות ונהלים מתאימים לטיפול מאובטח ביצירה, במחיקה ובשינוי של חומר המפתח, כדי להגן על המידע ולהבטיח את הזמינות שלו. חשוב לוודא שהתקופה הזו עומדת בדרישות של מדיניות החברה לגבי רוטציית מפתחות. |
| מוצרים רלוונטיים |
Cloud KMS |
| נתיב | cloudkms.projects.locations.keyRings.cryptoKeys/rotationPeriod |
| אופרטור | => |
| ערך |
|
| סוג | int32 |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגדרה של רוטציה אוטומטית של סודות
| מזהה הבקרה של Google | SM-CO-6.2 |
|---|---|
| הטמעה | חובה |
| תיאור | להחליף סודות באופן אוטומטי ולהכין נוהלי החלפה למקרה חירום.
|
| מוצרים רלוונטיים |
Secret Manager |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
יצירת אסטרטגיית הצפנה מנוהלת
| הטמעה | חובה |
|---|---|
| תיאור | יצירת אסטרטגיה לניהול הצפנה באמצעות Cloud Key Management Service (Cloud KMS) עם Autokey, Cloud External Key Manager (Cloud EKM) או שניהם. השיטה הזו מאפשרת לארגון שלכם להשתמש במפתחות הצפנה משלו ולנהל אותם כדי לעמוד בדרישות הספציפיות שלכם. שימוש במפתחות הצפנה משלכם מאפשר לכם שליטה מפורטת בגישה לנתונים, כולל אפשרות לבצע ביקורת ולחסום גישה לנתונים באופן מיידי על ידי השבתת המפתח. |
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
שימוש ב-CMEK להודעות Pub/Sub
| מזהה הבקרה של Google | PS-CO-6.1 |
|---|---|
| הטמעה | מומלץ |
| תיאור | כשמפעילים מפתחות הצפנה בניהול הלקוח (CMEK) ב-Pub/Sub, מקבלים שליטה רבה יותר במפתחות ההצפנה ש-Pub/Sub משתמש בהם כדי להגן על ההודעות. בשכבת האפליקציה, מערכת Pub/Sub מצפינה כל הודעה נכנסת בנפרד כשהיא מתקבלת ב-Pub/Sub. לפני ש-Pub/Sub מפרסם הודעות במינוי, הוא מצפין את ההודעות באמצעות המפתח החדש ביותר להצפנת נתונים (DEK) שנוצר לנושא. מערכת Pub/Sub מפענחת את ההודעות זמן קצר לפני שהן נמסרות למנויים.
Pub/Sub משתמש ב Cloud de Confiance by S3NS חשבון שירות כדי לגשת ל-Cloud Key Management Service. חשבון השירות מתוחזק באופן פנימי על ידי Pub/Sub לכל פרויקט, והוא לא מוצג ברשימת חשבונות השירות.
|
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגבלת המיקום של מפתחות הצפנה בניהול הלקוח
| מזהה הבקרה של Google | COM-CO-2.2 |
|---|---|
| הטמעה | מומלץ |
| תיאור | משתמשים באילוץ מדיניות הארגון Restrict which projects may supply KMS CryptoKeys for CMEK ( כדי לשנות את ההגבלה הזו, אדמינים צריכים את תפקיד ה-IAM Organization Policy Administrator ( אם רוצים להוסיף שכבת הגנה שנייה, כמו שימוש במפתח משלכם, צריך לשנות את ההגבלה הזו כך שתייצג את שמות המפתחות של CMEK שמופעל. פרטים ספציפיים על המוצר:
|
| מוצרים רלוונטיים |
|
| נתיב | constraints/gcp.restrictCmekCryptoKeyProjects |
| אופרטור | notexists |
| ערך |
|
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
שימוש ב-CMEK עבור Cloud de Confiance שירותים
| מזהה הבקרה של Google | COM-CO-2.3 |
|---|---|
| הטמעה | מומלץ |
| תיאור | אם אתם צריכים יותר שליטה בפעולות של מפתחות, מעבר למה ש Google Cloud-powered encryption keys מאפשרים, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK). המפתחות האלה נוצרים ומנוהלים באמצעות Cloud KMS. אפשר לאחסן את המפתחות כמפתחות תוכנה, באשכול HSM או במערכת חיצונית לניהול מפתחות. קצב ההצפנה והפענוח של Cloud KMS תלוי במכסות. פרטים ספציפיים לגבי Cloud Storage ב-Cloud Storage, אפשר להשתמש במפתחות CMEK באובייקטים בודדים, או להגדיר את הקטגוריות של Cloud Storage לשימוש במפתח CMEK כברירת מחדל בכל האובייקטים החדשים שמתווספים לקטגיה. כשמשתמשים במפתח הצפנה בניהול הלקוח, האובייקט מוצפן באמצעות המפתח על ידי Cloud Storage בזמן האחסון בקטגוריה, וכשהאובייקט נשלח למגישי בקשות, Cloud Storage מפענח אותו אוטומטית. ההגבלות הבאות חלות כשמשתמשים במפתחות CMEK עם Cloud Storage:
|
| מוצרים רלוונטיים |
|
| נתיב | constraints/gcp.restrictNonCmekServices |
| אופרטור | == |
| ערך |
|
| סוג | String |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
שכפול סודות באופן אוטומטי
| מזהה הבקרה של Google | SM-CO-6.1 |
|---|---|
| הטמעה | מומלץ |
| תיאור | אלא אם לעומס העבודה שלכם יש דרישות מיקום ספציפיות, מומלץ לבחור את מדיניות השכפול האוטומטי לשכפול הסודות. מדיניות ההקצאה האוטומטית עונה על צורכי הזמינות והביצועים של רוב עומסי העבודה. אם לעומס העבודה שלכם יש דרישות ספציפיות לגבי מיקום, אתם יכולים להשתמש ב-API כדי לבחור את המיקומים למדיניות השכפול כשאתם יוצרים את הסוד.
|
| מוצרים רלוונטיים |
Secret Manager |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
מצב אבטחה וניתוח נתונים
במסמך הזה מפורטות השיטות המומלצות וההנחיות לשימוש ב-Security Command Center כשמריצים עומסי עבודה ב- Cloud de Confiance by S3NS.
הפעלה של Security Command Center ברמת הארגון
| מזהה הבקרה של Google | SCC-CO-6.1 |
|---|---|
| הטמעה | חובה |
| תיאור | כדי להימנע מהגדרות נוספות, מומלץ להפעיל את Security Command Center ברמת הארגון. אם אתם לא רוצים להשתמש ב-Security Command Center, אתם צריכים להפעיל פתרון אחר לניהול מצב האבטחה.
|
| מוצרים רלוונטיים |
Security Command Center |
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |
הגדרת התראות מ-Security Command Center
| מזהה הבקרה של Google | SCC-CO-7.1 |
|---|---|
| הטמעה | מומלץ |
| תיאור | ההתראות מ-Security Command Center מאפשרות לכם לראות את הארגון ולקבל הודעות על בעיות בשירותים שלכם, כדי שתוכלו לפעול בהתאם. Cloud de Confiance by S3NS אתם יכולים להגדיר התראות ב-Cloud Logging כדי לקבל הודעות על שגיאות שקשורות לסוכן השירות של Security Command Center (
service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com). |
| מוצרים רלוונטיים |
|
| אמצעי בקרה קשורים בתקן NIST-800-53 |
|
| הגדרות קשורות בפרופיל CRI |
|
| מידע קשור |