אמצעי בקרה מאובטחים של תשתית ארגונית

במסמך הזה מפורטות שיטות מומלצות והנחיות לבניית בסיס מאובטח לארגון כשמריצים עומסי עבודה שמשתמשים ב-Cloud de Confiance by S3NS. בסיס מאובטח לארגון כולל אמצעי בקרה ל:

אימות והרשאה

בקטע הזה מפורטות שיטות מומלצות והנחיות לניהול זהויות והרשאות גישה (IAM) ול-Cloud Identity כשמריצים עומסי עבודה ב- Cloud de Confiance by S3NS.

השבתה של הענקת IAM לחשבונות שירות שמוגדרים כברירת מחדל באופן אוטומטי

מזהה הבקרה של Google IAM-CO-4.1
הטמעה חובה
תיאור

משתמשים באילוץ בוליאני automaticIamGrantsForDefaultServiceAccountsכדי להשבית הענקת תפקידים אוטומטית כששירותים יוצרים באופן אוטומטי חשבונות שירות שמוגדרים כברירת מחדל עם תפקידים שכוללים הרשאות רבות מדי Cloud de Confiance by S3NS .

כברירת מחדל, מערכות מסוימות מעניקות הרשאות רחבות מדי לחשבונות אוטומטיים, וזה עלול להוות סיכון אבטחה. לדוגמה, אם לא אוכפים את האילוץ הזה ויוצרים חשבון שירות שמוגדר כברירת מחדל, חשבון השירות מקבל אוטומטית את התפקיד 'עריכה' (roles/editor) בפרויקט. אם תוקף יפרוץ לחלק אחד במערכת, הוא יוכל להשיג שליטה על הפרויקט כולו. ההגבלה הזו משביתה את ההרשאות האוטומטיות ברמה גבוהה, ומחייבת גישה יותר מאובטחת ומכוונת שבה ניתנות רק ההרשאות המינימליות הנדרשות.

מוצרים רלוונטיים
  • IAM
  • Organization Policy Service
נתיב constraints/iam.automaticIamGrantsForDefaultServiceAccounts
אופרטור הוא
ערך

False

סוג בוליאני
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-3
  • AC-17
  • AC-20
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
מידע קשור

חסימת היצירה של מפתחות חיצוניים לחשבון שירות

מזהה הבקרה של Google IAM-CO-4.2
הטמעה חובה
תיאור

משתמשים באילוץ הבוליאני iam.disableServiceAccountKeyCreation כדי להשבית את האפשרות ליצור מפתחות חיצוניים של חשבונות שירות. ההגבלה הזו מאפשרת לכם לשלוט בשימוש בפרטי כניסה לא מנוהלים לטווח ארוך בחשבונות שירות. כשההגבלה הזו מוגדרת, אי אפשר ליצור פרטי כניסה בניהול המשתמשים לחשבונות שירות בפרויקטים שמושפעים מההגבלה.

מוצרים רלוונטיים
  • Organization Policy Service
  • IAM
נתיב constraints/iam.disableServiceAccountKeyCreation
אופרטור הוא
ערך

True

סוג בוליאני
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-3
  • AC-17
  • AC-20
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
מידע קשור

חסימת העלאות של מפתחות לחשבונות שירות

מזהה הבקרה של Google IAM-CO-4.3
הטמעה חובה
תיאור

משתמשים באילוץ הבוליאני iam.disableServiceAccountKeyUpload כדי להשבית את ההעלאה של מפתחות ציבוריים חיצוניים לחשבונות שירות. כשהאילוץ הזה מוגדר, המשתמשים לא יכולים להעלות מפתחות ציבוריים לחשבונות שירות בפרויקטים שמושפעים מהאילוץ.

מוצרים רלוונטיים
  • Organization Policy Service
  • IAM
נתיב constraints/iam.disableServiceAccountKeyUpload
אופרטור הוא
ערך

True

סוג בוליאני
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-3
  • AC-17
  • AC-20
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
מידע קשור

הגדרת הפרדת תפקידים לאדמינים של מדיניות הארגון

מזהה הבקרה של Google OPS-CO-6.1
הטמעה חובה
תיאור
מקצים את התפקיד Organization Policy Administrator (אדמין מדיניות ארגונית) (roles/orgpolicy.policyAdmin) לקבוצות שאחראיות על מצב האבטחה של הארגון. Cloud de Confiance by S3NS כדי למנוע יצירת משאבים שמפירים את מדיניות האבטחה, אל תקצו את התפקיד הזה לבעלי פרויקטים.
מוצרים רלוונטיים
  • IAM
  • Organization Policy Service
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-2
  • AC-3
  • AC-5
הגדרות קשורות בפרופיל CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
מידע קשור

הפעלת אימות דו-שלבי בחשבונות סופר-אדמין

מזהה הבקרה של Google CI-CO-6.1
הטמעה חובה
תיאור

‫Google ממליצה להשתמש במפתחות אבטחה Titan לאימות דו-שלבי (2SV) בחשבונות סופר-אדמין. עם זאת, בתרחישי שימוש שבהם זה לא אפשרי, מומלץ להשתמש במפתח אבטחה אחר כחלופה.

מוצרים רלוונטיים
  • Cloud Identity
  • מפתחות אבטחה של Titan
אמצעי בקרה קשורים בתקן NIST-800-53
  • IA-2
  • IA-4
  • IA-5
  • IA-7
הגדרות קשורות בפרופיל CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
מידע קשור

אכיפת אימות דו-שלבי ביחידה הארגונית של הסופר-אדמין

מזהה הבקרה של Google CI-CO-6.2
הטמעה חובה
תיאור

לאכוף אימות דו-שלבי (2SV) ביחידה ארגונית (OU) ספציפית או בכל הארגון. מומלץ ליצור יחידה ארגונית לסופר-אדמינים ולאכוף אימות דו-שלבי ביחידה הארגונית הזו.

מוצרים רלוונטיים

Cloud Identity

אמצעי בקרה קשורים בתקן NIST-800-53
  • IA-2
  • IA-4
  • IA-5
  • IA-7
הגדרות קשורות בפרופיל CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
מידע קשור

יצירת כתובת אימייל בלעדית לסופר-אדמין הראשי

מזהה הבקרה של Google CI-CO-6.4
הטמעה חובה
תיאור
יוצרים כתובת אימייל שלא ספציפית למשתמש מסוים כחשבון הראשי של סופר-אדמין ב-Cloud Identity.
מוצרים רלוונטיים

Cloud Identity

אמצעי בקרה קשורים בתקן NIST-800-53
  • IA-2
  • IA-4
  • IA-5
הגדרות קשורות בפרופיל CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
מידע קשור

יצירה של חשבונות אדמין מיותרים

מזהה הבקרה של Google CI-CO-6.7
הטמעה חובה
תיאור

אין סופר-אדמין יחיד או אדמין ארגוני. יוצרים חשבון אדמין אחד או יותר (עד 20) לגיבוי. אם יש רק סופר-אדמין אחד או אדמין ארגוני אחד, יכול להיות שתהיה בעיה להיכנס לחשבון. במצב כזה יש גם סיכון גבוה יותר, כי אדם אחד יכול לבצע שינויים בפלטפורמה, בלי פיקוח.

מוצרים רלוונטיים
  • ניהול זהויות והרשאות גישה (IAM)
  • Google Workspace
  • Cloud Identity
אמצעי בקרה קשורים בתקן NIST-800-53
  • IA-2
  • IA-4
  • IA-5
הגדרות קשורות בפרופיל CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
מידע קשור

שימוש ב-Privileged Access Manager

מזהה הבקרה של Google GCVE-CO-3.2
הטמעה חובה
תיאור

משתמשים ב-Privileged Access Manager כדי לנהל הרשאות גישה מיוחדות. לכל שאר סוגי הגישה, כדאי להשתמש בקבוצות גישה, להגדיר שחברות בקבוצות תפוג אוטומטית ולהטמיע תהליך עבודה לאישור חברות בקבוצות.

שימוש במודל של הרשאות מינימליות מאפשר לכם לספק גישה רק כשצריך, למשאבים שנדרשים. השימוש בתפקידים מוגדרים מראש מפשט את השימוש ומצמצם את התרחבות ההרשאות שנגרמת בגלל תפקידים בהתאמה אישית, כך שלא צריך לדאוג לניהול מחזור החיים של התפקיד.

מוצרים רלוונטיים

ניהול זהויות והרשאות גישה (IAM)

אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-2
  • AC-3
  • AC-6
הגדרות קשורות בפרופיל CRI
  • PR.AC-4.1
מידע קשור

הגדרת מקור האמת של הזהויות

הטמעה חובה
תיאור

מחליטים מה יהיה מקור המהימנות להקצאת הרשאות לזהויות של משתמשים מנוהלים. הדפוסים כוללים יצירת זהויות משתמשים ב-Cloud Identity, סנכרון זהויות מספק זהויות קיים או שימוש באיחוד שירותי אימות הזהות של כוח העבודה.

מוצרים רלוונטיים
  • Cloud Identity
  • איחוד שירותי אימות הזהות של כוח העבודה
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-2
הגדרות קשורות בפרופיל CRI
  • PR.AC-1.1
מידע קשור

אכיפת כללי מדיניות לגבי סיסמאות חזקות

הטמעה חובה
תיאור

אוכפים סיסמאות חזקות וייחודיות לכל חשבונות המשתמשים. כדאי להשתמש במנהל סיסמאות. פרטי כניסה חלשים או היעדר פרטי כניסה הם דפוס נפוץ שמשתמשים זדוניים יכולים לנצל בקלות.

מוצרים רלוונטיים
  • ניהול זהויות והרשאות גישה (IAM)
  • Google Workspace
  • Cloud Identity
אמצעי בקרה קשורים בתקן NIST-800-53
  • IA-5
הגדרות קשורות בפרופיל CRI
  • PR.AC-1.1
מידע קשור

שימוש בתפקידים על סמך תפקידים

הטמעה חובה
תיאור

כדי להקצות הרשאות למשתמשים, משתמשים בתפקידים של ניהול זהויות והרשאות גישה (IAM) שמבוססים על פונקציות של משימות. תפקידים לפי תחומי אחריות הם תפקידים מוגדרים מראש שמאפשרים לאדמינים לספק קבוצה של הרשאות שמוגבלת לתחום אחריות מסוים, וכך לשפר את הפרודוקטיביות ולצמצם את הצורך בהתכתבות כדי לבקש הרשאות. כדי להתאים טוב יותר לדרישות של הארגון, אתם יכולים ליצור תפקידים בהתאמה אישית שמבוססים על תפקידים מוגדרים מראש.

מוצרים רלוונטיים

IAM

אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-6
הגדרות קשורות בפרופיל CRI
  • PR.AC-4.1
מידע קשור

הגבלת משתמשים מחוץ לארגון בקבוצות

הטמעה חובה
תיאור

הגדרת מדיניות לכל הארגון כדי למנוע הוספה של חברים חיצוניים לקבוצות Google.

כברירת מחדל, אפשר להוסיף לקבוצות ב-Cloud Identity חשבונות של משתמשים חיצוניים. מומלץ להגדיר את הגדרות השיתוף כך שבעלי קבוצות לא יוכלו להוסיף חברים מחוץ לארגון.

הערה: ההגבלה הזו לא חלה על חשבון הסופר-אדמין או על אדמינים אחרים שהוקצו להם הרשאות אדמין ב-Google Groups. בגלל שהפדרציה מספק הזהויות שלכם פועלת עם הרשאות אדמין, הגדרות השיתוף של הקבוצה לא חלות על סנכרון הקבוצה הזה. מומלץ לבדוק את אמצעי הבקרה בספק הזהויות ובמנגנון הסנכרון כדי לוודא שמשתמשים שלא שייכים לדומיין לא יתווספו לקבוצות, או להגדיר הגבלות על הקבוצות.

מוצרים רלוונטיים
  • Cloud Identity
  • Google Workspace
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-2
  • AC-3
  • AC-20
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
  • PR.AC-5.1
מידע קשור

הגדרת משך יום שימוש באפליקציה

הטמעה חובה
תיאור

הגדירו את משך הפעילות בשירותים כך שיפוג לפחות פעם ביום. Cloud de Confiance by S3NS השארת חשבון מחובר למשך תקופה ארוכה היא סיכון אבטחתי. הגדרת משך סשן מקסימלי גורמת לסיום הסשן באופן אוטומטי אחרי פרק זמן מוגדר, ומחייבת כניסה מאובטחת חדשה.

השיטה הזו מקטינה את הסיכוי שמשתמש זדוני ישתמש בסיסמה גנובה, ומבטיחה שהגישה תאומת מחדש באופן קבוע.

ללקוחות חדשים, אורך ברירת המחדל של הסשן הוא 16 שעות, והוא נאכף באופן אוטומטי. יכול להיות שלקוחות שיצרו את Cloud de Confiance by S3NS הארגון שלהם לפני 2023 מוגדרים כברירת מחדל כך שאין צורך לאמת מחדש את הזהות שלהם. בודקים את ההגדרה הזו כדי לוודא שיש לכם מדיניות אימות מחדש עם משך פעילות של סשן בין שעה ל-24 שעות. מדיניות האימות מחדש מבטלת את תוקף טוקן הרענון ומחייבת את המשתמשים לבצע אימות מחדש של ה-CLI של gcloud באופן קבוע באמצעות הסיסמה או מפתח האבטחה שלהם.

אורך הסשן של שירותי Cloud de Confiance by S3NS הוא הגדרה נפרדת מאורך הסשן של שירותי Google, ששולטת בסשנים באינטרנט לצורך כניסה לשירותי Google Workspace, אבל לא שולטת באימות מחדש של Cloud de Confiance by S3NS. אם אתם משתמשים בשירותי Google Workspace, צריך להגדיר את אורך הסשן לשני השירותים.

מוצרים רלוונטיים
  • ניהול זהויות והרשאות גישה (IAM)
  • Google Workspace
  • Cloud Identity
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-12
הגדרות קשורות בפרופיל CRI
  • PR.AC-7.1
מידע קשור

תיקון חשבונות פרטיים לא מנוהלים

הטמעה חובה
תיאור

אסור לאפשר שימוש בחשבונות פרטיים לא מנוהלים. כדאי לאחד את כל החשבונות הפרטיים הלא מנוהלים, ולשקול פתרון שימנע יצירה של חשבונות פרטיים לא מנוהלים נוספים בדומיין שלכם.

חשבונות לקוחות לא מנוהלים לא כפופים לתהליכי הצטרפות, מעבר ועזיבה (JML), ולכן הם יוצרים סיכון לכך שלעובד עדיין תהיה גישה למשאבים שלכם אחרי שהוא יעזוב את העבודה. החשבונות האלה נחשבים גם כחיצוניים מבחינת אמצעי בקרה כמו שיתוף מוגבל לדומיין.

מוצרים רלוונטיים

Cloud Identity

אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-2
הגדרות קשורות בפרופיל CRI
  • PR.AC-1.1
מידע קשור

אכיפה של אדמינים ייעודיים וקבלת אישור ממספר משתמשים

הטמעה חובה
תיאור

חשוב לוודא שחשבונות סופר-אדמין נפרדים מחשבונות משתמשים לשימוש יומיומי. חשבונות סופר-אדמין צריכים להיות חשבונות ייעודיים שמשמשים רק לביצוע שינויים חשובים. כדי להגביר את האבטחה, מומלץ להפעיל קבלת אישור ממספר משתמשים לפעולות אדמין. הפעלת אישור ממספר משתמשים (MPA) מחייבת אישור של שני אדמינים כדי לבצע פעולות רגישות. כך אפשר למנוע ממבצעי מתקפות לפגוע בחשבון אדמין ולחסום את הגישה של משתמשים אחרים עם הרשאת אדמין.

מוצרים רלוונטיים
  • ניהול זהויות והרשאות גישה (IAM)
  • Google Workspace
  • Cloud Identity
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-6
הגדרות קשורות בפרופיל CRI
  • PR.AC-4.1
מידע קשור

הפעלה של אימות רב-גורמי לכל חשבונות Google ולכל משתמשי Cloud Identity

מזהה הבקרה של Google CI-CO-6.1
הטמעה חובה
תיאור

הפעילו אימות רב-גורמי (MFA), שנקרא גם אימות דו-שלבי (2SV), לכל חשבונות Google ולכל המשתמשים ב-Cloud Identity, ולא רק לאדמינים ראשיים. אימות דו-שלבי לסופר-אדמינים מופעל כברירת מחדל. אימות רב-גורמי מוסיף עוד שכבת הגנה, כי סיסמאות לבד לרוב לא מספיקות כאמצעי אבטחה.

מוצרים רלוונטיים
  • ניהול זהויות והרשאות גישה (IAM)
  • Google Workspace
  • Cloud Identity
אמצעי בקרה קשורים בתקן NIST-800-53
  • IA-2
הגדרות קשורות בפרופיל CRI
  • PR.AC-1.1
מידע קשור

ביטול תפקידי ברירת מחדל של יוצרים

הטמעה חובה
תיאור

מסירים את התפקידים Project Creator ו-Billing Account Creator שמוקצים כברירת מחדל לכל הגורמים בארגון חדש.

בארגונים חדשים, התפקידים 'יצירת פרויקטים' ו'יצירת חשבון לחיוב' מוקצים לכל הזהויות המנוהלות של המשתמשים בדומיין. התפקידים האלה שימושיים להתחלה, אבל ההגדרה הזו לא מיועדת לסביבות ייצור. אם מאפשרים לחשבונות לחיוב להתרבות, זה מוביל להגדלת התקורה הניהולית ועלול לגרום לבעיות טכניות כשמפצלים שירותים בין כמה חשבונות לחיוב. אם מאפשרים יצירת פרויקטים חופשית, יכול להיות שייווצרו פרויקטים שלא עומדים בדרישות של כללי הממשל.

במקום זאת, צריך להסיר את התפקידים האלה וליצור תהליך ליצירת פרויקטים כדי לבקש פרויקטים חדשים ולשייך אותם לחיוב.

מוצרים רלוונטיים

IAM

נתיב resourcemanager.organizations/iamPolicy.bindings
אופרטור not_contains
ערך
  • role:roles/resourcemanager.projectCreator AND member:domain:*
  • role:roles/billing.creator AND member:domain:*
סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-6
הגדרות קשורות בפרופיל CRI
  • PR.AC-4.1
מידע קשור

החלפת מפתחות של חשבונות שירות

הטמעה חובה
תיאור

אם אתם חייבים להשתמש במפתחות של חשבונות שירות, אתם צריכים להחליף את המפתחות לפחות פעם אחת כל 90 יום.

מרווח החלפה מגביל את משך הזמן שלתוקף יכולה להיות גישה למערכת. אם לא מגדירים מרווח רוטציה, לתוקף תהיה גישה לנצח. במקרים שבהם אפשר, מומלץ להשתמש באיחוד שירותי אימות הזהות של עומסי עבודה במקום במפתחות של חשבונות שירות.

מוצרים רלוונטיים

IAM

נתיב constraints/iam.serviceAccountKeyExpiryHours
אופרטור =>
ערך

2160

סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-12
הגדרות קשורות בפרופיל CRI
  • PR.DS-1.1
מידע קשור

שימוש באיחוד שירותי אימות הזהויות של עומסי עבודה

הטמעה חובה
תיאור

משתמשים באיחוד שירותי אימות הזהות של עומסי עבודה כדי לאפשר למערכות CI/CD ולעומסי עבודה שפועלים בעננים אחרים לבצע אימות ל- Cloud de Confiance by S3NS. איחוד שירותי אימות הזהות של עומסי עבודה מאפשר לעומסי עבודה שפועלים מחוץ ל- Cloud de Confiance לעבור אימות בלי שנדרש מפתח של חשבון שירות. איחוד שירותי אימות הזהות של עומסי עבודה מאפשר לכם להימנע משימוש במפתחות של חשבונות שירות ובפרטי כניסה אחרים לטווח ארוך, וכך לצמצם את הסיכון לדליפת פרטי כניסה.

מוצרים רלוונטיים

IAM

נתיב iam.googleapis.com/WorkloadIdentityPool
אופרטור מוגדר
סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • IA-2
הגדרות קשורות בפרופיל CRI
  • PR.AC-1.1
מידע קשור

חסימת שחזור עצמאי של חשבונות סופר-אדמין

מזהה הבקרה של Google CI-CO-6.3
הטמעה חובה
תיאור

כברירת מחדל, האפשרות לשחזור עצמי של חשבון סופר-אדמין מושבתת אצל לקוחות חדשים. עם זאת, יכול להיות שההגדרה הזו מופעלת אצל לקוחות קיימים. השבתת ההגדרה הזו עוזרת לצמצם את הסיכון שטלפון שנפרץ, אימייל שנפרץ או מתקפת הנדסה חברתית יאפשרו לתוקף לקבל הרשאות סופר-אדמין בסביבה שלכם.

כדאי לתכנן תהליך פנימי שבו סופר-אדמין יכול לפנות לסופר-אדמין אחר בארגון אם הוא איבד את הגישה לחשבון שלו, ולוודא שכל הסופר-אדמינים מכירים את התהליך לשחזור חשבון בעזרת התמיכה.

כדי להשבית את התכונה, עוברים להגדרות שחזור החשבון במסוף Google Admin.

מוצרים רלוונטיים
  • Cloud Identity
  • Google Workspace
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-2
  • AC-3
הגדרות קשורות בפרופיל CRI
  • PR.AC-1.1
  • PR.AC-4.1
מידע קשור

הגדרה של זמן קצוב לתפוגה של סשן לא פעיל לתרחישי שימוש רגישים

הטמעה חובה
תיאור

במקרים רגישים, כדאי להגדיר את הזמן הקצוב לתפוגה של סשן לא פעיל ל-15 דקות. תוקפים עלולים להשתמש בסשנים לא פעילים כדי לגנוב פרטי כניסה.

מוצרים רלוונטיים
  • ניהול זהויות והרשאות גישה (IAM)
  • Google Workspace
  • Cloud Identity
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-12
הגדרות קשורות בפרופיל CRI
  • PR.AC-7.1
מידע קשור

אכיפת השימוש במפתחות אבטחה פיזיים לאדמינים

הטמעה חובה
תיאור

אם אפשר, כדאי לספק מפתחות אבטחה פיזיים לסופר-אדמינים או לאדמינים של הארגון כגורם אימות שני. חשבונות סופר-אדמין הם היעדים הכי חשובים למתקפות מתוחכמות. מפתחות אבטחה פיזיים מספקים רמת הגנה גבוהה כי הם עמידים בפני פישינג. מפתחות אבטחה פיזיים הם אמצעי ההגנה החזק ביותר מפני השתלטות על חשבונות של האדמינים הכי חשובים, והם מבוססים על מדיניות האימות הדו-שלבי הרגילה שלכם.

מוצרים רלוונטיים
  • ניהול זהויות והרשאות גישה (IAM)
  • Google Workspace
  • Cloud Identity
אמצעי בקרה קשורים בתקן NIST-800-53
  • IA-2
הגדרות קשורות בפרופיל CRI
  • PR.AC-1.1
מידע קשור

הפעלת אימות אחרי כניסה יחידה (SSO)

הטמעה חובה
תיאור

אם אתם משתמשים בספק זהויות חיצוני, צריך להגדיר אימות אחרי כניסה יחידה.

הפעלה של שכבת בקרה נוספת על סמך ניתוח רמת הסיכון של הכניסה לחשבון Google. אחרי שמחילים את ההגדרה הזו, יכול להיות שיוצגו למשתמשים אתגרי אימות זהות נוספים לכניסה לחשבון שמבוססים על רמת הסיכון, אם Google תקבע שכניסת משתמש לחשבון היא חשודה.

מוצרים רלוונטיים
  • Cloud Identity
  • Google Workspace
אמצעי בקרה קשורים בתקן NIST-800-53
  • IA-2
  • IA-5
  • IA-8
הגדרות קשורות בפרופיל CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-3.1
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
מידע קשור

הפעלת מדיניות לקביעת גבול הגישה לחשבונות משתמשים (PAB)

הטמעה חובה
תיאור

הפעלה של כללי מדיניות של גבולות גישה של ישויות (PAB) כדי להגביל את הגישה של הישויות ולעזור בהגנה מפני פישינג וזליגת נתונים. כדי להימנע ממתקפות פישינג חיצוניות, צריך להפעיל מדיניות PAB בארגון. ה-PAB משפרים את האבטחה על ידי צמצום היקף ההתקפה עם זהות שנפרצה, והם גם עוזרים למנוע התקפות פישינג חיצוניות והתקפות אחרות של דליפת נתונים.

מוצרים רלוונטיים

IAM

נתיב iam.googleapis.com/PrincipalAccessBoundaryPolicy
אופרטור מוגדר
סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-3
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
מידע קשור

הטמעה של תגים להקצאה יעילה של מדיניות IAM ומדיניות הארגון

מזהה הבקרה של Google IAM-CO-6.1
הטמעה מומלץ
תיאור

תגים מאפשרים ליצור הערות למשאבים, ובמקרים מסוימים להגדיר תנאי לאישור או לדחייה של כללי מדיניות אם תג ספציפי מצורף או לא מצורף למשאב. אתם יכולים להשתמש בתגים ובאכיפה מותנית של כללי מדיניות כדי לשלוט בצורה פרטנית בהיררכיית המשאבים.

מוצרים רלוונטיים

מנהל המשאבים

אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-2
  • AC-3
  • AC-5
הגדרות קשורות בפרופיל CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
מידע קשור

ביקורת על שינויים ב-IAM שקשורים לסיכון גבוה

מזהה הבקרה של Google IAM-CO-7.1
הטמעה מומלץ
תיאור

אפשר להשתמש ביומני הביקורת של Cloud כדי לעקוב אחרי פעילות בסיכון גבוה, כמו הענקת תפקידים בסיכון גבוה לחשבונות, למשל אדמין ארגוני וסופר-אדמין. הגדרת התראות לסוג הפעילות הזה.

מוצרים רלוונטיים

יומני ביקורת של Cloud

אמצעי בקרה קשורים בתקן NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
הגדרות קשורות בפרופיל CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
מידע קשור

חסימת הגישה ל-Cloud Shell לחשבונות משתמשים מנוהלים ב-Cloud Identity

מזהה הבקרה של Google CI-CO-6.8
הטמעה מומלץ
תיאור

כדי למנוע מתן גישה מוגזמת ל- Cloud de Confiance by S3NS, חוסמים את הגישה ל-Cloud Shell לחשבונות משתמשים מנוהלים ב-Cloud Identity.

מוצרים רלוונטיים
  • Cloud Identity
  • Cloud Shell
אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-7
  • SC-8
הגדרות קשורות בפרופיל CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
מידע קשור

הגדרת בקרת גישה מבוססת-הקשר למסופי Google

מזהה הבקרה של Google IAM-CO-8.2
הטמעה אופציונלי
תיאור

באמצעות בקרת גישה מבוססת-הקשר, אפשר ליצור מדיניות אבטחה מפורטת של בקרת גישה לאפליקציות על סמך מאפיינים כמו זהות המשתמש, המיקום, סטטוס האבטחה של המכשיר וכתובת ה-IP. מומלץ להשתמש בבקרת גישה מבוססת-הקשר כדי להגביל את הגישה אל Cloud de Confiance המסוף (https://console.cloud.google.com/) ואל מסוף Google Admin (https://admin.cloud.google.com).

מוצרים רלוונטיים
  • Cloud Identity
  • בקרת גישה מבוססת הקשר
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-3
  • AC-12
  • AC-17
  • AC-20
  • SC-7
  • SC-8
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
מידע קשור

חסימת שחזור עצמאי של חשבונות סופר-אדמין

מזהה הבקרה של Google CI-CO-6.3
הטמעה אופציונלי
תיאור
פורץ יכול להשתמש בתהליך השחזור העצמי כדי לאפס את הסיסמאות של סופר-אדמינים. כדי לצמצם את סיכוני האבטחה שקשורים למתקפות Signaling System 7‏ (SS7), למתקפות החלפת כרטיס SIM או למתקפות פישינג אחרות, מומלץ להשבית את התכונה הזו. כדי להשבית את התכונה, עוברים להגדרות שחזור החשבון במסוף Google Admin.
מוצרים רלוונטיים
  • Cloud Identity
  • Google Workspace
אמצעי בקרה קשורים בתקן NIST-800-53
  • IA-2
  • IA-4
  • IA-5
הגדרות קשורות בפרופיל CRI
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
מידע קשור

השבתה של שירותי Google שלא נמצאים בשימוש

מזהה הבקרה של Google CI-CO-6.6
הטמעה אופציונלי
תיאור
באופן כללי, מומלץ להשבית את השירותים שלא תשתמשו בהם.
מוצרים רלוונטיים

Cloud Identity

נתיב http://admin.google.com > Apps > Additional Google Services
אופרטור הגדרה
ערך

False

אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-7
  • SC-8
הגדרות קשורות בפרופיל CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
מידע קשור

ארגון

בקטע הזה מפורטות השיטות המומלצות וההנחיות לשימוש בשירות Organization Policy וב-מנהל המשאבים כשמריצים עומסי עבודה ב- Cloud de Confiance by S3NS.

הגבלת גרסאות TLS שנתמכות על ידי ממשקי API של Google

מזהה הבקרה של Google COM-CO-1.1
הטמעה חובה
תיאור

‫Cloud de Confiance תומך במספר גרסאות של פרוטוקול TLS. כדי לעמוד בדרישות התאימות, יכול להיות שתרצו לדחות בקשות ללחיצת יד מלקוחות שמשתמשים בגרסאות ישנות יותר של TLS.

כדי להגדיר את אמצעי הבקרה הזה, משתמשים באילוץ הגבלת גרסאות TLS (gcp.restrictTLSVersion) של מדיניות הארגון. אפשר להחיל את האילוץ הזה על ארגונים, תיקיות או פרויקטים בהיררכיית המשאבים. האילוץ Restrict TLS Versions (הגבלת גרסאות TLS) משתמש ברשימת דחייה, שדוחה ערכים מפורשים ומאפשרת את כל הערכים האחרים. אם מנסים להשתמש ברשימת היתרים, מתרחשת שגיאה.

בגלל אופן הפעולה של הערכת ההיררכיה של מדיניות הארגון, ההגבלה על גרסת TLS חלה על צומת המשאב שצוין ועל כל התיקיות והפרויקטים שלו (צאצאים). לדוגמה, אם תדחו את TLS גרסה 1.0 לארגון, היא תידחה גם לכל הצאצאים שמשתייכים לארגון הזה.

אפשר לשנות את ההגבלה על גרסת ה-TLS שעברה בירושה על ידי עדכון מדיניות הארגון במשאב צאצא. לדוגמה, אם מדיניות הארגון שלכם דוחה TLS 1.0 ברמת הארגון, אתם יכולים להסיר את ההגבלה בתיקיית צאצא על ידי הגדרת מדיניות ארגון נפרדת בתיקייה הזו. אם לתיקייה יש צאצאים, המדיניות של התיקייה תחול גם על כל משאב צאצא בגלל ירושת המדיניות.

כדי להגביל עוד יותר את גרסת ה-TLS ל-TLS 1.3 בלבד, אפשר להגדיר את המדיניות הזו כך שתגביל גם את גרסת ה-TLS 1.2. אתם צריכים להטמיע את אמצעי הבקרה הזה באפליקציות שאתם מארחים ב- Cloud de Confiance by S3NS. לדוגמה, ברמת הארגון, מגדירים:

["TLS_VERSION_1","TLS_VERSION_1.1","TLS_VERSION_1.2"]

מוצרים רלוונטיים

הכל; מנוהל על ידי Organization Policy Service

נתיב gcp.restrictTLSVersion
אופרטור ==
ערך
  • TLS_VERSION_1
  • TLS_VERSION_1.1
סוג String
מזהה הבקרה ב-Compliance Manager RESTRICT_LEGACY_TLS_VERSIONS
אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-8
  • SC-13
הגדרות קשורות בפרופיל CRI
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
מידע קשור

הגבלת חשבונות משתמשים מורשים

מזהה הבקרה של Google COM-CO-4.1
הטמעה חובה
תיאור

מוודאים שרק זהויות מהארגון שלכם מורשות בסביבת Cloud de Confiance by S3NS . משתמשים באילוץ שיתוף מוגבל לפי דומיינים (iam.allowedPolicyMemberDomains) או באילוץ מדיניות הארגון iam.managed.allowedPolicyMembers כדי להגדיר מזהה לקוח אחד או יותר של Cloud Identity או Google Workspace, שחשבונות המשתמשים שלו יכולים להתווסף למדיניות של ניהול זהויות והרשאות גישה (IAM).

המגבלות האלה עוזרות למנוע מעובדים להעניק גישה לחשבונות חיצוניים שלא נמצאים בשליטת הארגון ולא עומדים בדרישות של מדיניות האבטחה בנושא אימות רב-שלבי (MFA) או ניהול סיסמאות. הבקרה הזו חיונית למניעת גישה לא מורשית, כדי לוודא שאפשר להשתמש רק בזהויות ארגוניות מנוהלות ואמינות.

מוצרים רלוונטיים
  • Organization Policy Service
  • IAM
נתיב constraints/iam.allowedPolicyMemberDomains
אופרטור הוא
ערך

CUSTOMER_ID,ORG_ID

סוג רשימה
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-3
  • AC-17
  • AC-20
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
מידע קשור

הגבלת השימוש בשירות משאבים

מזהה הבקרה של Google RM-CO-4.1
הטמעה חובה
תיאור

האילוץ gcp.restrictServiceUsage מבטיח שרק השירותים שאושרו Cloud de Confiance by S3NS ישמשו במקומות הנכונים. לדוגמה, בתיקייה של ייצור או בתיקייה עם מידע רגיש מאוד יש רשימה קצרה של Cloud de Confiance שירותים שאושרו לאחסון נתונים. יכול להיות שבתיקיית ארגז חול תהיה רשימה גדולה יותר של שירותים ואמצעי בקרה נלווים לאבטחת מידע, כדי למנוע זליגת נתונים. הערך ספציפי למערכות שלכם ותואם לרשימת השירותים והתלות שאושרו לתיקיות ולפרויקטים ספציפיים.

האילוץ הזה מאפשר לארגון ליצור רשימת היתרים של שירותים מאושרים, וכך למנוע מהעובדים להשתמש בשירותים שלא נבדקו.

מוצרים רלוונטיים
  • Organization Policy Service
  • מנהל המשאבים
נתיב constraints/gcp.restrictServiceUsage
אופרטור הוא
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-3
  • AC-17
  • AC-20
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
מידע קשור

הגבלת מיקומי משאבים

מזהה הבקרה של Google RM-CO-4.2
הטמעה חובה
תיאור

המגבלה על מיקום המשאבים (gcp.resourceLocations) מבטיחה שרק האזורים שאושרו ישמשו לאחסון נתונים. Cloud de Confiance by S3NS הערך ספציפי למערכות שלכם ותואם לרשימת האזורים שאושרו בארגון לצורך שמירת נתונים.

ההגבלה הזו מאפשרת לארגון שלכם לוודא שהמשאבים והנתונים שלכם נוצרים ונשמרים רק באזורים גיאוגרפיים ספציפיים שאושרו.

מוצרים רלוונטיים
  • Organization Policy Service
  • מנהל המשאבים
נתיב constraints/gcp.resourceLocations
אופרטור הוא
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-3
  • AC-17
  • AC-20
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
מידע קשור

Networking

בקטע הזה מפורטות שיטות מומלצות והנחיות לשימוש ב-Virtual Private Cloud‏ (VPC) וב-Cloud DNS כשמריצים עומסי עבודה ב- Cloud de Confiance by S3NS.

חסימה של יצירת רשת ברירת המחדל

מזהה הבקרה של Google VPC-CO-6.1
הטמעה חובה
תיאור

האילוץ הבוליאני compute.skipDefaultNetworkCreation מדלג על יצירת רשת ברירת המחדל ומשאבים קשורים כשיוצרים פרויקטים Cloud de Confiance by S3NS .

רשת ברירת המחדל היא רשת ענן וירטואלי פרטי (VPC) במצב אוטומטי, עם כללי חומת אש מאוכלסים מראש של IPv4 כדי לאפשר נתיבי תקשורת פנימיים. באופן כללי, ההגדרה הזו לא מומלצת מבחינת אבטחה בסביבות ייצור.

מוצרים רלוונטיים
  • Organization Policy Service
  • ענן וירטואלי פרטי (VPC)
נתיב constraints/compute.skipDefaultNetworkCreation
ערך

True

סוג בוליאני
אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-7
  • SC-8
הגדרות קשורות בפרופיל CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
מידע קשור

הפעלת תוספי אבטחה של DNS

מזהה הבקרה של Google DNS-CO-6.1
הטמעה חובה
תיאור

תוספי אבטחה של DNS ‏ (DNSSEC) הם תכונה של מערכת שמות הדומיין (DNS) שמאמתת תגובות לחיפושים של שמות דומיין. הוא לא מספק הגנה על הפרטיות של השאילתות האלה, אבל הוא מונע מתוקפים לשנות את התשובות לבקשות DNS או להוסיף להן נתונים שגויים.

ב-Cloud DNS, אפשר להפעיל את DNSSEC במקומות הבאים:

  • תחום DNS
  • דומיין ברמה העליונה (TLD)
  • פענוח DNS
מוצרים רלוונטיים

Cloud DNS

אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-7
  • SC-8
הגדרות קשורות בפרופיל CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
מידע קשור

הפעלת גישה פרטית ל-Google

מזהה הבקרה של Google GCVE-CO-1.5
הטמעה חובה
תיאור

מפעילים גישה פרטית ל-Google בכל רשתות המשנה.

הפעלת גישה פרטית ל-Google מאפשרת לשירותים לגשת Cloud de Confiance by S3NS לשירותים שאין להם כתובות IP חיצוניות. כברירת מחדל, האפשרות 'גישה פרטית ל-Google' לא מופעלת במשאבים חדשים, ונדרשים שלבים נוספים כדי להפעיל אותה באופן מפורש.

מוצרים רלוונטיים

ענן וירטואלי פרטי (VPC)

אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-7
  • SC-8
  • SC-13
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
מידע קשור

הפעלת גישה לשירותים פרטיים לבעלים של שירות מנוהל

מזהה הבקרה של Google GCVE-CO-1.6
הטמעה חובה
תיאור

הפעלת גישה לשירותים פרטיים כדי ליצור רשת פרטית בין Cloud de Confiance by S3NS שירותים כמו רשתות מדור קודם של Google Cloud VMware Engine לבין ספקי שירותים כמו Cloud SQL. גישה פרטית לשירותים עוזרת להימנע מחשיפה מיותרת של חיבורי רשת של עומסי עבודה לאינטרנט.

מוצרים רלוונטיים

ענן וירטואלי פרטי (VPC)

אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-7
  • SC-8
  • SC-13
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
מידע קשור

השבתה של IPv6 אלא אם נדרש

הטמעה חובה
תיאור

משביתים את היצירה של רשת משנה חיצונית של IPv6, אלא אם נדרש אחרת. כדי לצמצם את שטח הפנים של המתקפה, כדאי להשבית את IPv6 במערכות וברשתות שבהן הוא לא מנוהל באופן פעיל או לא נדרש. בארגונים רבים יש אמצעי בקרה וניטור מתקדמים לאבטחת IPv4, אבל יכול להיות שהכלים וכללי המדיניות שלהם לא מתאימים ל-IPv6, ולכן הם עלולים להיות חשופים לאיומים. הפעלת רשת עם תמיכה בשני הפרוטוקולים גם מוסיפה מורכבות תפעולית, ומחייבת הגדרות ספציפיות ומומחיות כדי לנהל ולפתור בעיות בצורה יעילה. לכן, אם אין לכם סיבה עסקית ברורה להשתמש ב-IPv6, השבתה שלו יכולה לפשט את הסביבה שלכם ולהבטיח שכל התנועה תסונן באופן עקבי באמצעות אסטרטגיית האבטחה הקיימת שלכם ב-IPv4.

מוצרים רלוונטיים

Compute Engine

נתיב constraints/compute.disableVpcExternalIpv6
אופרטור הוא
ערך

True

סוג בוליאני
אמצעי בקרה קשורים בתקן NIST-800-53
  • CM-7
הגדרות קשורות בפרופיל CRI
  • PR.PT-3.1
מידע קשור

הגבלת תנועה יוצאת

הטמעה חובה
תיאור

הגבלת הגישה למקורות חיצוניים, כי כברירת מחדל, כל הגישה מותרת. הגדרת כללי חומת אש ספציפיים לדפוסי תעבורה שצריכים לצאת.

לרוב, המערכות מקבלות הרשאה ליצור חיבורים יוצאים לאינטרנט, וזה עלול להוות סיכון אבטחה. מדיניות ברירת מחדל של דחייה חוסמת תנועה יוצאת ומחייבת יצירת כללים ספציפיים רק ליעדים הידועים והנדרשים.

מוצרים רלוונטיים

Cloud Next Generation Firewall

נתיב cloudasset.assets/assetType
אופרטור ==
ערך

compute.googleapis.com/Firewall

סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-7
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
מידע קשור

הגבלת גישה נכנסת ליציאות SSH ו-RDP

הטמעה חובה
תיאור

במידת האפשר, מגבילים את הגישה הנכנסת רק למשאבים ספציפיים ולטווחים של משאבים. אם מוגדר שרת proxy לאימות זהויות (IAP), צריך להגדיר את כללי חומת האש של SSH נכנס ופרוטוקול שולחן עבודה מרוחק (RDP) לטווח כתובות ה-IP של IAP כמקורות.

כללי חומת אש מתירניים של SSH ו-RDP מאפשרים מתקפות כוח ברוטלי. במקום זאת, כדאי להשתמש בשרתי Proxy לאימות זהויות (כמו IAP) עבור SSH ו-RDP. Cloud de Confiance by S3NS

מוצרים רלוונטיים

IAP

נתיב cloudasset.assets/assetType
אופרטור ==
ערך

compute.googleapis.com/Firewall

סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-7
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
מידע קשור

הפעלת VPC Service Controls

הטמעה חובה
תיאור

כדאי להפעיל VPC Service Controls כשכבת הגנה נוספת כדי למנוע אובדן נתונים פוטנציאלי.

בעזרת VPC Service Controls אפשר ליצור מתחמי בידוד מסביב למשאבי הענן, למידע אישי רגיש ולרשתות, וכך למנוע זליגת נתונים.

גבולות הגזרה לשירות מגבילים את השימוש בפרטי כניסה שנפרצו, כי הם חוסמים בקשות לשירותים מוגבלים שמקורם בנקודות קצה בשליטת התוקף שנמצאות מחוץ לסביבה שלכם.

מוצרים רלוונטיים

VPC Service Controls

נתיב accesscontextmanager.accessPolicies.servicePerimeters/perimeterType
אופרטור ==
ערך

PERIMETER_TYPE_REGULAR

סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-7
  • SC-8
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
מידע קשור

שימוש במדיניות Cloud Armor

הטמעה חובה
תיאור

באפליקציות שחשופות מאחורי Cloud Load Balancing, אפשר להשתמש במדיניות ברירת המחדל של Google Cloud Armor או להגדיר מדיניות משלכם כדי להוסיף הגנה על רשתות ברמה 3 עד רמה 7 לאפליקציות או לשירותים שפונים כלפי חוץ. כללי מדיניות האבטחה של Cloud Armor עוזרים להגן על האפליקציה באמצעות סינון בשכבה 7. בנוסף, המדיניות הזו בודקת בקשות נכנסות כדי לזהות מתקפות נפוצות באינטרנט או מאפיינים אחרים בשכבה 7, כדי לחסום תנועה לפני שהיא מגיעה לשירותי הקצה העורפי או לקטגוריות הקצה העורפי עם איזון עומסים. כל מדיניות אבטחה מורכבת מקבוצה של כללים שכוללים מאפיינים משכבה 3 עד שכבה 7.

מוצרים רלוונטיים

Cloud Armor

נתיב compute.backendServices/securityPolicy
אופרטור מוגדר
סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-7
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
מידע קשור

הפעלת ההגבלה של היקף השירות במדיניות הגישה של Access Context Manager

מזהה הבקרה של Google COM-CO-8.1
הטמעה מומלץ לשימוש ב-AI גנרטיבי בתרחישי שימוש
תיאור

לכל גבול גזרה לשירות, מוודאים במסוף Cloud de Confiance שהסוג של גבול הגזרה מוגדר כרגיל.

מוצרים רלוונטיים
  • Access Context Manager
  • VPC Service Controls
נתיב accesscontextmanager.accessPolicies.servicePerimeters/perimeterType
אופרטור ==
ערך

PERIMETER_TYPE_REGULAR

סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-7
  • SC-8
הגדרות קשורות בפרופיל CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
מידע קשור

הגבלת ממשקי API בתוך היקפי שירות של VPC Service Controls

מזהה הבקרה של Google COM-CO-8.2
הטמעה מומלץ לשימוש ב-AI גנרטיבי בתרחישי שימוש
תיאור

בכל גבולות גזרה לשירות, משתמשים ב-Access Context Manager כדי לוודא שגבולות הגזרה מגינים על ה-API.

מוצרים רלוונטיים
  • VPC Service Controls
  • Access Context Manager
נתיב accesscontextmanager.accessPolicies.servicePerimeters/status.restrictedServices
אופרטור Anyof
ערך
  • aiplatform.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • cloudasset.googleapis.com
  • cloudbuild.googleapis.com
  • cloudfunctions.googleapis.com
  • cloudresourcemanager.googleapis.com
  • containeranalysis.googleapis.com
  • discoveryengine.googleapis.com
  • dns.googleapis.com
  • notebooks.googleapis.com
  • ondemandscanning.googleapis.com
  • orgpolicy.googleapis.com
  • pubsub.googleapis.com
  • secretmanager.googleapis.com
  • storage.googleapis.com
  • visionai.googleapis.com
סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-7
  • SC-8
הגדרות קשורות בפרופיל CRI
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
מידע קשור

שימוש ב-DNS אזורי

מזהה הבקרה של Google DNS-CO-4.1
הטמעה אופציונלי
תיאור

המגבלה הבוליאנית compute.setNewProjectDefaultToZonalDNSOnly מאפשרת להגדיר את הגדרת ה-DNS הפנימי לפרויקטים חדשים כך שישתמשו רק ב-DNS אזורי. מומלץ להשתמש ב-DNS אזורי כי הוא מציע אמינות גבוהה יותר בהשוואה לאזורים נפרדים, כי הוא מבודד כשלים ברישום ה-DNS .

מוצרים רלוונטיים

מדיניות הארגון

נתיב constraints/compute.setNewProjectDefaultToZonalDNSOnly
אופרטור =
ערך

True

סוג בוליאני
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-3
  • AC-17
  • AC-20
הגדרות קשורות בפרופיל CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
מידע קשור

רישום ביומן, מעקב והתראות

בקטע הזה מפורטות שיטות מומלצות והנחיות לרישום ביומן ולביקורת של שירותים ב- Cloud de Confiance by S3NS ולהגדרת התראות לשירותים כמו חיוב ב-Cloud.

שיתוף יומני ביקורת מ-Cloud Identity

מזהה הבקרה של Google CI-CO-6.5
הטמעה חובה
תיאור

אם משתמשים ב-Cloud Identity, משתפים את יומני הביקורת מ-Cloud Identity אל Cloud de Confiance by S3NS.

בדרך כלל, יומני ביקורת של פעילות אדמין מ-Google Workspace או מ-Cloud Identity מנוהלים ומוצגים במסוף Google Admin, בנפרד מהיומנים בסביבת Cloud de Confiance . היומנים האלה מכילים מידע שרלוונטי לסביבה שלכם, כמו אירועים של התחברות משתמשים. Cloud de Confiance

מומלץ לשתף את יומני הביקורת של Cloud Identity עם סביבת Cloud de Confiance כדי לנהל באופן מרכזי יומנים מכל המקורות.

מוצרים רלוונטיים
  • Google Workspace
  • Cloud Logging
  • Cloud Identity
אמצעי בקרה קשורים בתקן NIST-800-53
  • AC-2
  • AC-3
  • AC-8
  • AC-9
הגדרות קשורות בפרופיל CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
מידע קשור

שימוש ביומני ביקורת

מזהה הבקרה של Google COM-CO-7.3
הטמעה חובה
תיאור

שירותיCloud de Confiance כותבים רשומות ביומן הביקורת כדי לענות על השאלות מי עשה מה, איפה ומתי עם משאבי Cloud de Confiance .

מפעילים רישום ביומן ביקורת ברמת הארגון. אפשר להגדיר רישום ביומן באמצעות צינור עיבוד הנתונים שבו משתמשים כדי להגדיר את Cloud de Confiance הארגון.

מוצרים רלוונטיים

יומני ביקורת של Cloud

אמצעי בקרה קשורים בתקן NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
הגדרות קשורות בפרופיל CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
מידע קשור

הפעלת יומני זרימה של VPC

מזהה הבקרה של Google COM-CO-7.4
הטמעה חובה
תיאור

ב-VPC Flow Logs מתועם מדגם של תנועות ברשת שנשלחות ממכונות וירטואליות ומתקבלות בהן, כולל מכונות וירטואליות שמשמשות כצמתים של Google Kubernetes Engine‏ (GKE). המדגם הוא בדרך כלל 50% או פחות מהתנועה ברשת ה-VPC.

כשמפעילים את VPC Flow Logs, מפעילים את הרישום ביומן לכל המכונות הווירטואליות בתת-רשת. עם זאת, אפשר להקטין את כמות המידע שנכתב ביומן.

מפעילים את VPC Flow Logs לכל רשת משנה של VPC. אתם יכולים להגדיר רישום ביומן באמצעות צינור עיבוד נתונים שמשמש ליצירת פרויקט.

מוצרים רלוונטיים

ענן וירטואלי פרטי (VPC)

אמצעי בקרה קשורים בתקן NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
הגדרות קשורות בפרופיל CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
מידע קשור

הפעלת ניהול כללי חומת אש

מזהה הבקרה של Google COM-CO-7.5
הטמעה חובה
תיאור

כברירת מחדל, כללי חומת האש לא כותבים יומנים באופן אוטומטי.רישום ביומן של כללי חומת האש מאפשר לכם לבדוק, לאמת ולנתח את ההשפעות של כללי חומת האש. לדוגמה, אפשר לקבוע אם כלל חומת אש שנועד לדחות תנועה פועל כמצופה. רישום ביומן שימושי גם אם רוצים לדעת כמה חיבורים מושפעים מכלל חומת אש נתון.

מפעילים את הרישום ביומן לכל כלל בחומת האש. אפשר להגדיר רישום ביומן באמצעות צינור עיבוד נתונים שמשמש ליצירת חומת אש.

מוצרים רלוונטיים

ענן וירטואלי פרטי (VPC)

אמצעי בקרה קשורים בתקן NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
הגדרות קשורות בפרופיל CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
מידע קשור

הפעלה של ביקורת על פעילות של אדמינים

מזהה הבקרה של Google COM-CO-7.1
הטמעה חובה
תיאור

כברירת מחדל, Cloud de Confiance מאפשרת לכולם להשבית את הביקורת על פעילות האדמין בחשבונות עם הרשאות מיוחדות.

יומני הביקורת של פעילות אדמין מכילים רשומות ביומן עבור קריאות ל-API או פעולות אחרות שמשנות את ההגדרות או את המטא-נתונים של משאבים. לדוגמה, ביומנים האלה מתועד מתי משתמשים יוצרים מכונות וירטואליות או משנים הרשאות IAM.

יומני הביקורת של פעילות האדמין מכילים רשומות ביומן לגבי יצירה, שינוי ומחיקה של הגבלות של מדיניות הארגון ברמת הארגון, התיקייה והפרויקט.

יומני הביקורת Admin Activity תמיד נכתבים, ואי אפשר להגדיר אותם, להחריג אותם או להשבית אותם. גם אם משביתים את Cloud Logging API, עדיין נוצרים יומני ביקורת Admin Activity.

מומלץ שהארגון שלכם יגדיר מדיניות ונהלים למעקב אחרי ההתראות האלה, וייצור פעולות או התראות בהתאם למדיניות הגישה של הארגון למעקב אחרי פעילויות של אדמינים.

מוצרים רלוונטיים

יומני ביקורת של Cloud

אמצעי בקרה קשורים בתקן NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
הגדרות קשורות בפרופיל CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
מידע קשור

הרשמה לעדכוני אבטחה דחופים

מזהה הבקרה של Google GKE-CO-1.8
הטמעה חובה
תיאור

כדאי להירשם לקבלת עדכוני אבטחה דחופים לגבי Cloud de Confiance by S3NS שירותים כדי לקבל התראות על נקודות חולשה ואמצעי צמצום סיכונים.

כשעלון אבטחה רלוונטי זמין לשירות Cloud de Confiance by S3NS (כמו GKE), השירות יכול לפרסם התראות לגבי האירועים האלה כהודעות בנושאי Pub/Sub שהגדרתם. אתם יכולים לקבל את ההתראות האלה במינוי Pub/Sub, לשלב אותן עם שירותים של צד שלישי ולסנן אותן לפי סוגי ההתראות שאתם רוצים לקבל.

מוצרים רלוונטיים

הכול

אמצעי בקרה קשורים בתקן NIST-800-53
  • SI-5
הגדרות קשורות בפרופיל CRI
  • PR.IP-1.4
מידע קשור

הגדרת קבוצות של אנשי קשר חיוניים

הטמעה חובה
תיאור

כדאי להגדיר את אנשי הקשר החיוניים כדי לוודא שכתובת אימייל כללית או רשימת תפוצה שנמצאות במעקב יקבלו התראות חשובות.

‫Google שולחת התראות אבטחה קריטיות (למשל, פריצה פוטנציאלית לחשבון) לכתובות האימייל שרשומות כאנשי קשר חיוניים. אם כתובת אימייל של אדם פרטי משמשת למטרה הזו, ההתראה לא תתקבל אם האדם הזה לא זמין או עזב את החברה.

שימוש בכתובת אימייל קבוצתית שנבדקת באופן קבוע עוזר לוודא שההתראות האלה, שחשוב להגיב עליהן במהירות, מגיעות לצוות פעיל שיכול להגיב במהירות.

מוצרים רלוונטיים

מנהל המשאבים

נתיב essentialcontacts.googleapis.com/Contact
אופרטור מוגדר
סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • IR-4
הגדרות קשורות בפרופיל CRI
  • PR.IP-1.4
מידע קשור

מעקב אחרי אנומליות בחיוב

הטמעה חובה
תיאור

אתם יכולים להשתמש בתכונה 'אנומליות בחיוב' בחיוב ב-Cloud כדי לעקוב אחרי עליות חדות או סטיות בהוצאות הצפויות.

עלייה פתאומית ולא צפויה בחשבון הענן היא אינדיקטור עיקרי לפגיעה באבטחה. לפעמים, עלייה חדה ובלתי צפויה בחיובים נגרמת על ידי תוקפים שקיבלו גישה ומשתמשים במשאבים לפעילויות לא מורשות.

הפעלת זיהוי אנומליות בחיוב מספקת מערכת אזהרה מוקדמת חיונית, כך שתוכלו לסמן אוטומטית את הפעילות החשודה הזו.

מוצרים רלוונטיים

חיוב ב-Cloud

אמצעי בקרה קשורים בתקן NIST-800-53
  • AU-6
הגדרות קשורות בפרופיל CRI
  • DE.AE-1.1
מידע קשור

ייצוא יומנים ל-sink ביומן לאחסון לטווח ארוך

הטמעה חובה
תיאור

יוצרים sink ביומן כדי לייצא יומנים לפתרון שלכם לניטור לצורכי אבטחה, ומגדירים את תקופת השמירה בהתאם לדרישות שלכם.

תקופות ברירת המחדל לשמירת יומנים לרוב לא ארוכות מספיק כדי לעמוד בדרישות של 1 עד 7 שנים שנקבעו בתקנות תאימות כמו PCI או HIPAA.

כדי לעמוד בהתחייבויות משפטיות ורגולטוריות מסוימות, חשוב ליצור sink ביומן כדי לייצא יומנים למיקום אחסון לטווח ארוך. בנוסף, אפשר להשתמש ב-Log sinks כדי לשלוח יומנים למערכת מרכזית לניטור לצורכי אבטחה, לצורך זיהוי מתקדם של איומים.

מוצרים רלוונטיים

Cloud Logging

נתיב logging.googleapis.com/LogSink/disabled
אופרטור הוא
ערך

False

סוג בוליאני
אמצעי בקרה קשורים בתקן NIST-800-53
  • AU-9
הגדרות קשורות בפרופיל CRI
  • PR.DS-4.1
מידע קשור

הפעלת יומני ביקורת של גישה לנתונים

מזהה הבקרה של Google COM-CO-7.2
הטמעה מומלץ בתרחישי שימוש מסוימים
תיאור

כדי לעקוב אחרי מי ניגש לנתונים בסביבת Cloud de Confiance by S3NS , צריך להפעיל את יומני הביקורת Data Access. ביומנים האלה מתועדות קריאות ל-API שקוראות, יוצרות או משנות נתוני משתמשים, וגם קריאות ל-API שקוראות הגדרות של משאבים.

מומלץ מאוד להפעיל יומני ביקורת של Data Access עבור מודלים של AI גנרטיבי ונתונים רגישים, כדי שתוכלו לבדוק מי קרא את המידע. כדי להשתמש ביומני הביקורת של גישה לנתונים, צריך להגדיר לוגיקה מותאמת אישית משלכם לזיהוי פעילויות ספציפיות, כמו התחברויות של סופר-אדמינים.

הנפח של יומני הביקורת Data Access יכול להיות גדול. הפעלה של יומני גישה לנתונים עלולה לגרום לחיוב הפרויקט על השימוש הנוסף ביומנים. Cloud de Confiance

מוצרים רלוונטיים

יומני ביקורת של Cloud

אמצעי בקרה קשורים בתקן NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
הגדרות קשורות בפרופיל CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
מידע קשור

הגדרת התראות לגבי חיוב

מזהה הבקרה של Google CB-CO-6.1
הטמעה מומלץ
תיאור

כדי להימנע מ"הפתעות" בחשבון, כדאי ליצור תקציבים בחיוב ב-Cloud וכך לעקוב אחרי כל החיובים ב- Cloud de Confiance by S3NS במקום אחד. אחרי שקובעים סכום לתקציב, מגדירים כללי סף להתראות לגבי התקציב ברמת הפרויקט כדי לקבל התראות באימייל. ההתראות האלה עוזרות לכם לעקוב אחרי ההוצאות ביחס לתקציב. אפשר גם להשתמש בתקציבים לחיוב ב-Cloud כדי ליצור תגובות אוטומטיות לבקרת עלויות.

מוצרים רלוונטיים

חיוב ב-Cloud

אמצעי בקרה קשורים בתקן NIST-800-53
  • SI-4
  • SI-5
הגדרות קשורות בפרופיל CRI
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
  • ID.RA-1.1
  • ID.RA-2.1
  • ID.RA-3.1
  • ID.RA-3.2
  • ID.RA-3.3
מידע קשור

הפעלה של יומני Access Transparency

מזהה הבקרה של Google COM-CO-7.7
הטמעה אופציונלי
תיאור

ביומנים רגילים אפשר לראות מה המשתמשים בארגון שלכם עושים, אבל ביומנים של Access Transparency אפשר לראות מה צוות התמיכה של Google עושה כשהוא ניגש לחשבון. הגישה הזו מתבצעת בדרך כלל רק בתגובה לבקשת תמיכה. היומנים של Access Transparency מספקים נתיב ביקורת מלא וניתן לאימות של כל הגישה, וזה חיוני כדי לעמוד בדרישות מחמירות של תאימות וניהול נתונים.

אפשר להפעיל את Access Transparency ברמת הארגון.

מוצרים רלוונטיים

Access Transparency

אמצעי בקרה קשורים בתקן NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
הגדרות קשורות בפרופיל CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
מידע קשור

ייצוא של נתוני חיוב לניתוח מפורט

מזהה הבקרה של Google CB-CO-6.2
הטמעה אופציונלי
תיאור

כדי לבצע ניתוח נוסף של החיוב, אפשר לייצא את Cloud de Confiance by S3NS נתוני החיוב ל-BigQuery או לקובץ JSON. לדוגמה, אתם יכולים לייצא באופן אוטומטי במהלך היום נתונים מפורטים כמו נתוני שימוש, אומדני עלויות ונתוני תמחור למערך נתונים ב-BigQuery שאתם מציינים. אחרי הייצוא אפשר להשתמש ב-BigQuery כדי לקבל ניתוח מפורט של נתוני החיוב ב-Cloud, או להשתמש בכלים כמו Data Studio כדי לראות תרשימים שממחישים את הנתונים.

מוצרים רלוונטיים
  • שירות העברת נתונים ל-BigQuery
  • BigQuery
  • חיוב ב-Cloud
אמצעי בקרה קשורים בתקן NIST-800-53
  • SI-4
  • SI-5
הגדרות קשורות בפרופיל CRI
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
  • ID.RA-1.1
  • ID.RA-2.1
  • ID.RA-3.1
  • ID.RA-3.2
  • ID.RA-3.3
מידע קשור

ניהול מפתחות וסודות

בקטע הזה מפורטות שיטות מומלצות והנחיות לשימוש ב-Cloud Key Management Service וב-Secret Manager כשמריצים עומסי עבודה ב-Cloud de Confiance by S3NS.

הצפנה של נתונים במנוחה ב- Cloud de Confiance

מזהה הבקרה של Google COM-CO-2.1
הטמעה חובה (ברירת מחדל)
תיאור

כל הנתונים ב- Cloud de Confiance מוצפנים במצב מנוחה כברירת מחדל באמצעות אלגוריתמים שאושרו על ידי NIST.

מוצרים רלוונטיים

Cloud de Confiance ברירת מחדל

אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-28
הגדרות קשורות בפרופיל CRI
  • PR.DS-1.1
  • PR.DS-1.2
מידע קשור

שימוש באלגוריתמים שאושרו על ידי NIST להצפנה ולפענוח

מזהה הבקרה של Google COM-CO-2.4
הטמעה חובה
תיאור

מוודאים ש-Cloud Key Management Service‏ (Cloud KMS) משתמש רק באלגוריתמים שאושרו על ידי NIST כדי לאחסן מפתחות רגישים בסביבה. הבקרה הזו מבטיחה שימוש מאובטח במפתחות על ידי שימוש רק באלגוריתמים ובאבטחה שאושרו על ידי NIST. השדה CryptoKeyVersionAlgorithm הוא רשימת היתרים שסופקה.

להסיר אלגוריתמים שלא עומדים בדרישות המדיניות של הארגון.

מוצרים רלוונטיים

Cloud KMS

נתיב cloudkms.projects.locations.keyRings.cryptoKeys/versionTemplate.algorithm
אופרטור ב-
ערך
  • RSA_SIGN_PSS_2048_SHA256
  • RSA_SIGN_PSS_3072_SHA256
  • RSA_SIGN_PSS_4096_SHA256
  • RSA_DECRYPT_OAEP_2048_SHA256
  • RSA_DECRYPT_OAEP_4096_SHA256
  • RSA_DECRYPT_OAEP_2048_SHA1
  • RSA_DECRYPT_OAEP_4096_SHA1
סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-12
  • SC-13
הגדרות קשורות בפרופיל CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
מידע קשור

הגדרת הייעוד של מפתחות Cloud KMS

מזהה הבקרה של Google COM-CO-2.5
הטמעה חובה
תיאור

מגדירים את הייעוד של מפתחות Cloud KMS ל-ENCRYPT_DECRYPT כדי שהמפתחות ישמשו רק להצפנה ולפענוח של נתונים. הבקרה הזו חוסמת פונקציות אחרות, כמו חתימה, ומבטיחה שהמפתחות ישמשו רק למטרה שלשמה הם נועדו. אם אתם משתמשים במפתחות לפונקציות אחרות, כדאי לאמת את תרחישי השימוש האלה ולשקול ליצור מפתחות נוספים.

מוצרים רלוונטיים

Cloud KMS

נתיב cloudkms.projects.locations.keyRings.cryptoKeys/purpose
אופרטור ==
ערך

ENCRYPT_DECRYPT

סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-12
  • SC-13
הגדרות קשורות בפרופיל CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
מידע קשור

מוודאים שהגדרות ה-CMEK מתאימות למחסני נתונים מאובטחים ב-BigQuery

מזהה הבקרה של Google COM-CO-2.6
הטמעה חובה
תיאור

רמת ההגנה מציינת איך מתבצעות פעולות קריפטוגרפיות. אחרי שיוצרים מפתח הצפנה בניהול הלקוח (CMEK), אי אפשר לשנות את רמת ההגנה. אלה רמות ההגנה הנתמכות:

  • תוכנה: פעולות קריפטוגרפיות מתבצעות בתוכנה.
  • HSM: פעולות קריפטוגרפיות מתבצעות במודול אבטחה לחומרה (HSM).
  • חיצוני: פעולות קריפטוגרפיות מבוצעות באמצעות מפתח שמאוחסן במנהל מפתחות חיצוני שמחובר ל- Cloud de Confiance דרך האינטרנט. מוגבל להצפנה סימטרית ולחתימה אסימטרית.
  • EXTERNAL_VPC: פעולות קריפטוגרפיות מבוצעות באמצעות מפתח שמאוחסן במנהל מפתחות חיצוני שמחובר אל Cloud de Confiance דרך רשת של ענן וירטואלי פרטי (VPC). מוגבל להצפנה סימטרית ולחתימה אסימטרית.
מוצרים רלוונטיים
  • Cloud KMS
  • BigQuery
נתיב cloudkms.projects.locations.keyRings.cryptoKeys/primary.protectionLevel
אופרטור ב-
ערך

[]

סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-12
  • SC-13
הגדרות קשורות בפרופיל CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
מידע קשור

רוטציה של מפתח ההצפנה כל 90 יום

מזהה הבקרה של Google COM-CO-2.7
הטמעה חובה
תיאור

מוודאים שתקופת הרוטציה של מפתחות Cloud KMS מוגדרת ל-90 ימים. מומלץ לבצע רוטציה של מפתחות האבטחה במרווחי זמן קבועים. אמצעי הבקרה הזה אוכף רוטציית מפתחות עבור מפתחות שנוצרו באמצעות שירותי HSM.

כשיוצרים את תקופת הרוטציה הזו, צריך גם ליצור מדיניות ונהלים מתאימים לטיפול מאובטח ביצירה, במחיקה ובשינוי של חומר המפתח, כדי להגן על המידע ולהבטיח את הזמינות שלו. חשוב לוודא שהתקופה הזו עומדת בדרישות של מדיניות החברה לגבי רוטציית מפתחות.

מוצרים רלוונטיים

Cloud KMS

נתיב cloudkms.projects.locations.keyRings.cryptoKeys/rotationPeriod
אופרטור =>
ערך

90

סוג int32
אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-12
  • SC-13
הגדרות קשורות בפרופיל CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
מידע קשור

הגדרה של רוטציה אוטומטית של סודות

מזהה הבקרה של Google SM-CO-6.2
הטמעה חובה
תיאור
להחליף סודות באופן אוטומטי ולהכין נוהלי החלפה למקרה חירום.
מוצרים רלוונטיים

Secret Manager

אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-12
  • SC-13
הגדרות קשורות בפרופיל CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
מידע קשור

יצירת אסטרטגיית הצפנה מנוהלת

הטמעה חובה
תיאור

יצירת אסטרטגיה לניהול הצפנה באמצעות Cloud Key Management Service ‏ (Cloud KMS) עם Autokey,‏ Cloud External Key Manager ‏ (Cloud EKM) או שניהם. השיטה הזו מאפשרת לארגון שלכם להשתמש במפתחות הצפנה משלו ולנהל אותם כדי לעמוד בדרישות הספציפיות שלכם. שימוש במפתחות הצפנה משלכם מאפשר לכם שליטה מפורטת בגישה לנתונים, כולל אפשרות לבצע ביקורת ולחסום גישה לנתונים באופן מיידי על ידי השבתת המפתח.

מוצרים רלוונטיים
  • Cloud KMS
  • Cloud EKM
אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-12
הגדרות קשורות בפרופיל CRI
  • PR.DS-1.1
מידע קשור

שימוש ב-CMEK להודעות Pub/Sub

מזהה הבקרה של Google PS-CO-6.1
הטמעה מומלץ
תיאור
כשמפעילים מפתחות הצפנה בניהול הלקוח (CMEK) ב-Pub/Sub, מקבלים שליטה רבה יותר במפתחות ההצפנה ש-Pub/Sub משתמש בהם כדי להגן על ההודעות. בשכבת האפליקציה, מערכת Pub/Sub מצפינה כל הודעה נכנסת בנפרד כשהיא מתקבלת ב-Pub/Sub. לפני ש-Pub/Sub מפרסם הודעות במינוי, הוא מצפין את ההודעות באמצעות המפתח החדש ביותר להצפנת נתונים (DEK) שנוצר לנושא. מערכת Pub/Sub מפענחת את ההודעות זמן קצר לפני שהן נמסרות למנויים. ‫Pub/Sub משתמש ב Cloud de Confiance by S3NS חשבון שירות כדי לגשת ל-Cloud Key Management Service. חשבון השירות מתוחזק באופן פנימי על ידי Pub/Sub לכל פרויקט, והוא לא מוצג ברשימת חשבונות השירות.
מוצרים רלוונטיים
  • Cloud KMS
  • Pub/Sub
אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-12
  • SC-13
הגדרות קשורות בפרופיל CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
מידע קשור

הגבלת המיקום של מפתחות הצפנה בניהול הלקוח

מזהה הבקרה של Google COM-CO-2.2
הטמעה מומלץ
תיאור

משתמשים באילוץ מדיניות הארגון Restrict which projects may supply KMS CryptoKeys for CMEK (gcp.restrictCmekCryptoKeyProjects) כדי להגדיר אילו פרויקטים יכולים לאחסן מפתחות הצפנה בניהול הלקוח (CMEK). האילוץ הזה מאפשר לכם לרכז את השליטה במפתחות ההצפנה ואת הניהול שלהם. אם מפתח שנבחר לא עומד במגבלה הזו, יצירת המשאב תיכשל.

כדי לשנות את ההגבלה הזו, אדמינים צריכים את תפקיד ה-IAM‏ Organization Policy Administrator (roles/orgpolicy.policyAdmin).

אם רוצים להוסיף שכבת הגנה שנייה, כמו שימוש במפתח משלכם, צריך לשנות את ההגבלה הזו כך שתייצג את שמות המפתחות של CMEK שמופעל.

פרטים ספציפיים על המוצר:

  • ב-Gemini Enterprise Agent Platform, המפתחות מאוחסנים בפרויקט KEY PROJECTS.
מוצרים רלוונטיים
  • Cloud KMS
  • מדיניות הארגון
נתיב constraints/gcp.restrictCmekCryptoKeyProjects
אופרטור notexists
ערך

KEY PROJECTS

סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-12
  • SC-13
הגדרות קשורות בפרופיל CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
מידע קשור

שימוש ב-CMEK עבור Cloud de Confiance שירותים

מזהה הבקרה של Google COM-CO-2.3
הטמעה מומלץ
תיאור

אם אתם צריכים יותר שליטה בפעולות של מפתחות, מעבר למה ש Google Cloud-powered encryption keys מאפשרים, אתם יכולים להשתמש במפתחות הצפנה בניהול הלקוח (CMEK). המפתחות האלה נוצרים ומנוהלים באמצעות Cloud KMS. אפשר לאחסן את המפתחות כמפתחות תוכנה, באשכול HSM או במערכת חיצונית לניהול מפתחות.

קצב ההצפנה והפענוח של Cloud KMS תלוי במכסות.

פרטים ספציפיים לגבי Cloud Storage

ב-Cloud Storage, אפשר להשתמש במפתחות CMEK באובייקטים בודדים, או להגדיר את הקטגוריות של Cloud Storage לשימוש במפתח CMEK כברירת מחדל בכל האובייקטים החדשים שמתווספים לקטגיה. כשמשתמשים במפתח הצפנה בניהול הלקוח, האובייקט מוצפן באמצעות המפתח על ידי Cloud Storage בזמן האחסון בקטגוריה, וכשהאובייקט נשלח למגישי בקשות, Cloud Storage מפענח אותו אוטומטית.

ההגבלות הבאות חלות כשמשתמשים במפתחות CMEK עם Cloud Storage:

  • אי אפשר להצפין אובייקט באמצעות CMEK על ידי עדכון המטא-נתונים של האובייקט. במקום זאת, צריך לכלול את המפתח בתהליך שכתוב של האובייקט.
  • ב-Cloud Storage נעשה שימוש בפקודה לעדכון אובייקטים כדי להגדיר מפתחות הצפנה לאובייקטים, אבל הפקודה משכתבת את האובייקט כחלק מהבקשה.
  • צריך ליצור את אוסף המפתחות של Cloud KMS באותו המיקום שבו נמצאים הנתונים שאתם מתכוונים להצפין. לדוגמה, אם המיקום של הקטגוריה הוא us-east1, גם המיקום שבו צריך ליצור כל אוסף מפתחות שמשמש להצפנת אובייקטים בקטגוריה הזו הוא us-east1.
  • ברוב המקרים שבהם המיקום כולל שני אזורים צריך ליצור את אוסף המפתחות של Cloud KMS במיקום המשויך שכולל מספר אזורים. לדוגמה, אם הקטגוריה נמצאת בשני האזורים us-east1 ו-us-west1, צריך ליצור כל אוסף מפתחות שמשמש להצפנת אובייקטים בקטגוריה הזו באזור הגיאוגרפי הנרחב בארה"ב.
  • למיקומים שכוללים שני אזורים שהוגדרו מראש asia1, eur4 ו-nam4, צריך ליצור את אוסף המפתחות באותם שני אזורים שהוגדרו מראש.
  • סיכום הביקורת (checksum) CRC32C והגיבוב (hash) MD5 של אובייקטים שהוצפנו באמצעות מפתחות CMEK לא מוחזרים כשמציגים רשימת אובייקטים באמצעות API בפורמט JSON.
  • שימוש בכלים כמו Cloud Storage כדי לבצע בקשות GET נוספות למטא-נתונים בכל אובייקט הצפנה, כדי לאחזר את פרטי ה-CRC32C וה-MD5, יכול לקצר משמעותית את הרשימה. ב-Cloud Storage אי אפשר להשתמש בחלק הפענוח של מפתחות אסימטריים שמאוחסנים ב-Cloud KMS כדי לפענח אוטומטית אובייקטים רלוונטיים, באותו אופן שבו משתמשים במפתחות הצפנה בניהול הלקוח.
מוצרים רלוונטיים
  • Cloud KMS
  • מדיניות הארגון
  • Cloud Storage
נתיב constraints/gcp.restrictNonCmekServices
אופרטור ==
ערך
  • bigquery.googleapis.com
  • storage.googleapis.com
  • aiplatform.googleapis.com
סוג String
אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-12
  • SC-13
הגדרות קשורות בפרופיל CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
מידע קשור

שכפול סודות באופן אוטומטי

מזהה הבקרה של Google SM-CO-6.1
הטמעה מומלץ
תיאור
אלא אם לעומס העבודה שלכם יש דרישות מיקום ספציפיות, מומלץ לבחור את מדיניות השכפול האוטומטי לשכפול הסודות. מדיניות ההקצאה האוטומטית עונה על צורכי הזמינות והביצועים של רוב עומסי העבודה. אם לעומס העבודה שלכם יש דרישות ספציפיות לגבי מיקום, אתם יכולים להשתמש ב-API כדי לבחור את המיקומים למדיניות השכפול כשאתם יוצרים את הסוד.
מוצרים רלוונטיים

Secret Manager

אמצעי בקרה קשורים בתקן NIST-800-53
  • SC-12
  • SC-13
הגדרות קשורות בפרופיל CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
מידע קשור

מצב אבטחה וניתוח נתונים

במסמך הזה מפורטות השיטות המומלצות וההנחיות לשימוש ב-Security Command Center כשמריצים עומסי עבודה ב- Cloud de Confiance by S3NS.

הפעלה של Security Command Center ברמת הארגון

מזהה הבקרה של Google SCC-CO-6.1
הטמעה חובה
תיאור
כדי להימנע מהגדרות נוספות, מומלץ להפעיל את Security Command Center ברמת הארגון. אם אתם לא רוצים להשתמש ב-Security Command Center, אתם צריכים להפעיל פתרון אחר לניהול מצב האבטחה.
מוצרים רלוונטיים

Security Command Center

אמצעי בקרה קשורים בתקן NIST-800-53
  • SI-4
  • SI-5
הגדרות קשורות בפרופיל CRI
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
  • ID.RA-1.1
  • ID.RA-2.1
  • ID.RA-3.1
  • ID.RA-3.2
  • ID.RA-3.3
מידע קשור

הגדרת התראות מ-Security Command Center

מזהה הבקרה של Google SCC-CO-7.1
הטמעה מומלץ
תיאור
ההתראות מ-Security Command Center מאפשרות לכם לראות את הארגון ולקבל הודעות על בעיות בשירותים שלכם, כדי שתוכלו לפעול בהתאם. Cloud de Confiance by S3NS אתם יכולים להגדיר התראות ב-Cloud Logging כדי לקבל הודעות על שגיאות שקשורות לסוכן השירות של Security Command Center‏ (service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com).
מוצרים רלוונטיים
  • Security Command Center
  • רישום ביומן
אמצעי בקרה קשורים בתקן NIST-800-53
  • AU-2
  • AU-3
  • AU-8
  • AU-9
הגדרות קשורות בפרופיל CRI
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
מידע קשור

המאמרים הבאים