Kontrol fondasi perusahaan yang aman

Dokumen ini mencakup praktik terbaik dan pedoman untuk membangun fondasi perusahaan yang aman saat menjalankan workload yang menggunakanCloud de Confiance by S3NS. Fondasi perusahaan yang aman mencakup kontrol untuk hal-hal berikut:

Autentikasi dan otorisasi

Bagian ini mencakup praktik terbaik dan panduan untuk Identity and Access Management (IAM) dan Cloud Identity saat menjalankan beban kerja di Cloud de Confiance by S3NS.

Menonaktifkan pemberian IAM otomatis untuk akun layanan default

ID kontrol Google IAM-CO-4.1
Penerapan Wajib
Deskripsi

Gunakan batasan boolean automaticIamGrantsForDefaultServiceAccounts untuk menonaktifkan pemberian peran otomatis saat Cloud de Confiance by S3NS layanan otomatis membuat akun layanan default dengan peran yang terlalu permisif.

Secara default, beberapa sistem memberikan izin yang terlalu luas ke akun otomatis, yang merupakan potensi risiko keamanan. Misalnya, jika Anda tidak menerapkan batasan ini dan Anda membuat akun layanan default, akun layanan tersebut akan otomatis diberi peran Editor (roles/editor) di project Anda. Jika penyerang menyusupi satu bagian sistem, mereka dapat mengontrol seluruh project. Batasan ini menonaktifkan izin otomatis tingkat tinggi tersebut, sehingga memaksa pendekatan yang lebih aman dan disengaja di mana hanya izin yang diperlukan minimal yang diberikan.

Produk yang berlaku
  • IAM
  • Organization Policy Service
Jalur constraints/iam.automaticIamGrantsForDefaultServiceAccounts
Operator Adalah
Nilai

False

Jenis Boolean
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informasi terkait

Memblokir pembuatan kunci akun layanan eksternal

ID kontrol Google IAM-CO-4.2
Penerapan Wajib
Deskripsi

Gunakan batasan boolean iam.disableServiceAccountKeyCreation untuk menonaktifkan pembuatan kunci akun layanan eksternal. Batasan ini memungkinkan Anda mengontrol penggunaan kredensial jangka panjang yang tidak dikelola untuk akun layanan. Jika batasan ini ditetapkan, Anda tidak dapat membuat kredensial yang dikelola pengguna untuk akun layanan di project yang terpengaruh oleh batasan tersebut.

Produk yang berlaku
  • Organization Policy Service
  • IAM
Jalur constraints/iam.disableServiceAccountKeyCreation
Operator Adalah
Nilai

True

Jenis Boolean
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informasi terkait

Memblokir upload kunci akun layanan

ID kontrol Google IAM-CO-4.3
Penerapan Wajib
Deskripsi

Gunakan batasan boolean iam.disableServiceAccountKeyUpload untuk menonaktifkan upload kunci publik eksternal ke akun layanan. Jika batasan ini ditetapkan, pengguna tidak dapat mengupload kunci publik ke akun layanan dalam project yang terpengaruh oleh batasan tersebut.

Produk yang berlaku
  • Organization Policy Service
  • IAM
Jalur constraints/iam.disableServiceAccountKeyUpload
Operator Adalah
Nilai

True

Jenis Boolean
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informasi terkait

Mengonfigurasi pemisahan tugas untuk administrator kebijakan organisasi

ID kontrol Google OPS-CO-6.1
Penerapan Wajib
Deskripsi
Tetapkan peran Administrator Kebijakan Organisasi (roles/orgpolicy.policyAdmin) kepada grup yang bertanggung jawab atas postur keamanan organisasi Cloud de Confiance by S3NS . Untuk menghindari pembuatan resource yang melanggar kebijakan keamanan, jangan tetapkan peran ini kepada pemilik project.
Produk yang berlaku
  • IAM
  • Organization Policy Service
Kontrol NIST-800-53 terkait
  • AC-2
  • AC-3
  • AC-5
Kontrol profil CRI terkait
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
Informasi terkait

Mengaktifkan verifikasi dua langkah untuk akun admin super

ID kontrol Google CI-CO-6.1
Penerapan Wajib
Deskripsi

Google merekomendasikan Kunci Keamanan Titan untuk verifikasi 2 langkah (2SV) untuk akun admin super. Namun, untuk kasus penggunaan yang tidak memungkinkan hal ini, sebaiknya gunakan kunci keamanan lain sebagai alternatif.

Produk yang berlaku
  • Cloud Identity
  • Kunci Keamanan Titan
Kontrol NIST-800-53 terkait
  • IA-2
  • IA-4
  • IA-5
  • IA-7
Kontrol profil CRI terkait
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Informasi terkait

Menerapkan verifikasi dua langkah di unit organisasi admin super

ID kontrol Google CI-CO-6.2
Penerapan Wajib
Deskripsi

Menerapkan verifikasi 2 langkah (2SV) untuk unit organisasi (OU) tertentu atau seluruh organisasi. Sebaiknya buat OU untuk admin super dan terapkan Verifikasi 2 Langkah di OU tersebut.

Produk yang berlaku

Cloud Identity

Kontrol NIST-800-53 terkait
  • IA-2
  • IA-4
  • IA-5
  • IA-7
Kontrol profil CRI terkait
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Informasi terkait

Buat alamat email eksklusif untuk admin super utama

ID kontrol Google CI-CO-6.4
Penerapan Wajib
Deskripsi
Buat alamat email yang tidak spesifik untuk pengguna tertentu sebagai akun admin super Cloud Identity utama.
Produk yang berlaku

Cloud Identity

Kontrol NIST-800-53 terkait
  • IA-2
  • IA-4
  • IA-5
Kontrol profil CRI terkait
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Informasi terkait

Buat akun administrator yang redundan

ID kontrol Google CI-CO-6.7
Penerapan Wajib
Deskripsi

Tidak memiliki satu-satunya admin super atau Administrator Organisasi. Buat satu atau beberapa (hingga 20) akun administrator cadangan. Satu-satunya admin super atau Administrator Organisasi dapat menyebabkan skenario terkunci. Situasi ini juga membawa risiko yang lebih tinggi karena satu orang dapat membuat perubahan yang memengaruhi platform, yang berpotensi tanpa pengawasan.

Produk yang berlaku
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
Kontrol NIST-800-53 terkait
  • IA-2
  • IA-4
  • IA-5
Kontrol profil CRI terkait
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Informasi terkait

Menggunakan Privileged Access Manager

ID kontrol Google GCVE-CO-3.2
Penerapan Wajib
Deskripsi

Gunakan Privileged Access Manager untuk mengelola akses istimewa. Untuk semua akses lainnya, gunakan grup akses, biarkan masa berlaku keanggotaan grup berakhir secara otomatis, dan terapkan alur kerja persetujuan untuk keanggotaan grup.

Dengan menggunakan model hak istimewa terendah, Anda hanya dapat memberikan akses saat diperlukan, untuk resource yang diperlukan. Penggunaan peran bawaan menyederhanakan penggunaan dan mengurangi penyebaran yang disebabkan oleh peran kustom sehingga Anda tidak perlu khawatir tentang pengelolaan siklus proses peran.

Produk yang berlaku

Identity and Access Management (IAM)

Kontrol NIST-800-53 terkait
  • AC-2
  • AC-3
  • AC-6
Kontrol profil CRI terkait
  • PR.AC-4.1
Informasi terkait

Menentukan sumber tepercaya identitas

Penerapan Wajib
Deskripsi

Tentukan sumber tepercaya Anda untuk menyediakan identitas pengguna terkelola. Pola ini mencakup pembuatan identitas pengguna di Cloud Identity, menyinkronkan identitas dari penyedia identitas yang ada, atau menggunakan Workforce Identity Federation.

Produk yang berlaku
  • Cloud Identity
  • Workforce Identity Federation
Kontrol NIST-800-53 terkait
  • AC-2
Kontrol profil CRI terkait
  • PR.AC-1.1
Informasi terkait

Menerapkan kebijakan sandi kuat

Penerapan Wajib
Deskripsi

Menerapkan sandi yang kuat dan unik untuk semua akun pengguna. Pertimbangkan untuk menggunakan pengelola sandi. Kredensial yang lemah atau tidak ada adalah pola umum yang dapat dengan mudah dieksploitasi oleh pengguna berbahaya.

Produk yang berlaku
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
Kontrol NIST-800-53 terkait
  • IA-5
Kontrol profil CRI terkait
  • PR.AC-1.1
Informasi terkait

Menggunakan peran berdasarkan fungsi tugas

Penerapan Wajib
Deskripsi

Gunakan peran Identity and Access Management (IAM) yang didasarkan pada fungsi tugas untuk menetapkan izin kepada pengguna. Fungsi tugas adalah peran bawaan yang memungkinkan admin memberikan serangkaian izin yang terbatas pada fungsi tugas, sehingga meningkatkan produktivitas dan mengurangi bolak-balik meminta izin. Untuk lebih menyelaraskan dengan persyaratan organisasi Anda, Anda dapat membuat peran khusus berdasarkan peran bawaan.

Produk yang berlaku

IAM

Kontrol NIST-800-53 terkait
  • AC-6
Kontrol profil CRI terkait
  • PR.AC-4.1
Informasi terkait

Membatasi anggota eksternal dalam grup

Penerapan Wajib
Deskripsi

Menetapkan kebijakan seluruh organisasi untuk mencegah penambahan anggota eksternal ke Google Grup.

Secara default, akun pengguna eksternal dapat ditambahkan ke grup di Cloud Identity. Sebaiknya Anda mengonfigurasi setelan berbagi agar pemilik grup tidak dapat menambahkan anggota eksternal.

Perhatikan bahwa pembatasan ini tidak berlaku untuk akun admin super atau untuk administrator lain yang didelegasikan dengan izin admin Google Grup. Karena federasi dari penyedia identitas Anda berjalan dengan hak istimewa administrator, setelan berbagi grup tidak berlaku untuk sinkronisasi grup ini. Sebaiknya tinjau kontrol di penyedia identitas dan mekanisme sinkronisasi untuk memastikan bahwa anggota non-domain tidak ditambahkan ke grup, atau Anda menerapkan batasan grup.

Produk yang berlaku
  • Cloud Identity
  • Google Workspace
Kontrol NIST-800-53 terkait
  • AC-2
  • AC-3
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-5.1
Informasi terkait

Menyetel durasi sesi harian

Penerapan Wajib
Deskripsi

Tetapkan durasi sesi untuk layanan Cloud de Confiance by S3NS agar berakhir setidaknya sekali sehari. Membiarkan akun tetap login dalam jangka waktu yang lama merupakan risiko keamanan. Menerapkan durasi sesi maksimum akan otomatis mengakhiri sesi setelah waktu yang ditetapkan, sehingga memaksa login baru yang aman.

Praktik ini mengurangi peluang pengguna berbahaya menggunakan sandi yang dicuri dan memastikan akses diverifikasi ulang secara rutin.

Untuk pelanggan baru, durasi sesi default 16 jam akan otomatis diterapkan. Pelanggan yang membuat organisasi Cloud de Confiance by S3NS sebelum tahun 2023 mungkin memiliki setelan default untuk tidak pernah mewajibkan autentikasi ulang. Tinjau setelan ini untuk memastikan bahwa Anda memiliki kebijakan autentikasi ulang dengan durasi sesi antara 1 hingga 24 jam. Kebijakan autentikasi ulang akan membatalkan validasi token refresh dan memaksa pengguna untuk mengautentikasi ulang gcloud CLI secara teratur dengan sandi atau kunci keamanannya.

Durasi sesi untuk layanan Cloud de Confiance by S3NS adalah setelan yang berbeda dari durasi sesi untuk layanan Google, yang mengontrol sesi web untuk login di seluruh layanan Google Workspace, tetapi tidak mengontrol autentikasi ulang untuk Cloud de Confiance by S3NS. Jika Anda menggunakan layanan Google Workspace, tetapkan durasi sesi untuk keduanya.

Produk yang berlaku
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
Kontrol NIST-800-53 terkait
  • AC-12
Kontrol profil CRI terkait
  • PR.AC-7.1
Informasi terkait

Memperbaiki akun konsumen yang tidak dikelola

Penerapan Wajib
Deskripsi

Jangan izinkan akun konsumen yang tidak dikelola. Gabungkan semua akun konsumen yang tidak dikelola, dan pertimbangkan solusi untuk mencegah pembuatan akun konsumen yang tidak dikelola lebih lanjut dengan domain Anda.

Akun konsumen yang tidak dikelola tidak diatur oleh proses joiner-mover-leaver (JML) Anda, sehingga menimbulkan risiko bahwa karyawan masih memiliki akses ke resource Anda setelah mereka keluar dari pekerjaannya. Akun ini juga diperlakukan sebagai eksternal terkait kontrol seperti berbagi yang dibatasi domain.

Produk yang berlaku

Cloud Identity

Kontrol NIST-800-53 terkait
  • AC-2
Kontrol profil CRI terkait
  • PR.AC-1.1
Informasi terkait

Menerapkan admin khusus dan persetujuan banyak pihak

Penerapan Wajib
Deskripsi

Pastikan akun admin super terpisah dari akun pengguna sehari-hari. Akun admin super harus berupa akun khusus yang hanya digunakan saat membuat perubahan penting. Untuk meningkatkan keamanan, aktifkan persetujuan banyak pihak untuk tindakan admin. Mengaktifkan persetujuan banyak pihak berarti tindakan sensitif disetujui oleh dua administrator, yang membantu mencegah penyerang membahayakan akun admin dan mengunci pengguna admin lainnya.

Produk yang berlaku
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
Kontrol NIST-800-53 terkait
  • AC-6
Kontrol profil CRI terkait
  • PR.AC-4.1
Informasi terkait

Mengaktifkan autentikasi multi-faktor untuk semua pengguna Akun Google dan Cloud Identity

ID kontrol Google CI-CO-6.1
Penerapan Wajib
Deskripsi

Aktifkan autentikasi multi-faktor (MFA), yang juga dikenal sebagai autentikasi 2 langkah (2SV) untuk semua pengguna Akun Google dan Cloud Identity, bukan hanya admin super. MFA untuk admin super diaktifkan secara default. MFA menambahkan lapisan pertahanan lain karena sandi saja sering kali tidak cukup kuat sebagai langkah keamanan.

Produk yang berlaku
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
Kontrol NIST-800-53 terkait
  • IA-2
Kontrol profil CRI terkait
  • PR.AC-1.1
Informasi terkait

Mencabut peran kreator default

Penerapan Wajib
Deskripsi

Hapus peran Project Creator dan Billing Account Creator di seluruh domain yang diberikan secara default kepada semua anggota di organisasi baru.

Organisasi baru memberikan peran Project Creator dan Billing Account Creator kepada semua identitas pengguna terkelola di domain. Meskipun berguna untuk memulai, konfigurasi ini tidak ditujukan untuk lingkungan produksi. Membiarkan akun penagihan berkembang biak menyebabkan peningkatan beban administratif dan memiliki konsekuensi teknis saat memisahkan layanan di beberapa Akun Penagihan. Mengizinkan pembuatan project bentuk bebas dapat menyebabkan project tidak mematuhi konvensi tata kelola Anda.

Sebagai gantinya, hapus peran ini dan buat proses pembuatan project untuk meminta project baru dan mengaitkannya dengan penagihan.

Produk yang berlaku

IAM

Jalur resourcemanager.organizations/iamPolicy.bindings
Operator not_contains
Nilai
  • role:roles/resourcemanager.projectCreator AND member:domain:*
  • role:roles/billing.creator AND member:domain:*
Jenis String
Kontrol NIST-800-53 terkait
  • AC-6
Kontrol profil CRI terkait
  • PR.AC-4.1
Informasi terkait

Merotasi kunci akun layanan

Penerapan Wajib
Deskripsi

Jika Anda harus menggunakan kunci akun layanan, rotasi kunci setidaknya sekali setiap 90 hari.

Interval rotasi membatasi berapa lama penyerang dapat memiliki akses ke sistem. Tanpa interval rotasi, penyerang akan memiliki akses selamanya. Jika memungkinkan, sebaiknya gunakan Workload Identity Federation, bukan kunci akun layanan.

Produk yang berlaku

IAM

Jalur constraints/iam.serviceAccountKeyExpiryHours
Operator <=
Nilai

2160

Jenis String
Kontrol NIST-800-53 terkait
  • SC-12
Kontrol profil CRI terkait
  • PR.DS-1.1
Informasi terkait

Menggunakan Workload Identity Federation

Penerapan Wajib
Deskripsi

Gunakan Workload Identity Federation agar sistem CI/CD dan workload yang berjalan di cloud lain dapat melakukan autentikasi ke Cloud de Confiance by S3NS. Workload Identity Federation memungkinkan beban kerja yang berjalan di luar Cloud de Confiance melakukan autentikasi tanpa memerlukan kunci akun layanan. Dengan menghindari kunci akun layanan dan kredensial lain yang aktif dalam waktu lama, Workload Identity Federation dapat membantu Anda mengurangi risiko kebocoran kredensial.

Produk yang berlaku

IAM

Jalur iam.googleapis.com/WorkloadIdentityPool
Operator Disetel
Jenis String
Kontrol NIST-800-53 terkait
  • IA-2
Kontrol profil CRI terkait
  • PR.AC-1.1
Informasi terkait

Memblokir pemulihan mandiri akun untuk akun admin super

ID kontrol Google CI-CO-6.3
Penerapan Wajib
Deskripsi

Secara default, pemulihan mandiri akun admin super dinonaktifkan untuk pelanggan baru. Namun, pelanggan lama mungkin mengaktifkan setelan ini. Menonaktifkan setelan ini membantu mengurangi risiko bahwa ponsel yang disusupi, email yang disusupi, atau serangan manipulasi psikologis dapat memungkinkan penyerang mendapatkan hak istimewa admin super atas lingkungan Anda.

Rencanakan proses internal bagi admin super untuk menghubungi admin super lain di organisasi Anda jika mereka kehilangan akses ke akunnya, dan pastikan semua admin super memahami proses pemulihan yang dibantu dukungan.

Untuk menonaktifkan fitur ini, buka setelan pemulihan akun di konsol Google Admin.

Produk yang berlaku
  • Cloud Identity
  • Google Workspace
Kontrol NIST-800-53 terkait
  • AC-2
  • AC-3
Kontrol profil CRI terkait
  • PR.AC-1.1
  • PR.AC-4.1
Informasi terkait

Menetapkan waktu tunggu sesi tidak ada aktivitas untuk kasus penggunaan sensitif

Penerapan Wajib
Deskripsi

Tetapkan waktu tunggu sesi tidak ada aktivitas menjadi 15 menit untuk kasus penggunaan sensitif. Sesi yang tidak aktif dapat digunakan oleh penyerang untuk pencurian kredensial.

Produk yang berlaku
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
Kontrol NIST-800-53 terkait
  • AC-12
Kontrol profil CRI terkait
  • PR.AC-7.1
Informasi terkait

Menerapkan kunci keamanan hardware untuk administrator

Penerapan Wajib
Deskripsi

Berikan kunci keamanan hardware, jika memungkinkan, kepada admin super atau Administrator Organisasi sebagai faktor kedua. Akun admin super adalah target bernilai tertinggi untuk serangan canggih. Kunci keamanan hardware memberikan tingkat perlindungan yang tinggi karena tahan terhadap phishing. Kunci keamanan hardware adalah pertahanan terkuat terhadap pengambilalihan akun untuk administrator terpenting Anda dan dibuat berdasarkan kebijakan MFA standar Anda.

Produk yang berlaku
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
Kontrol NIST-800-53 terkait
  • IA-2
Kontrol profil CRI terkait
  • PR.AC-1.1
Informasi terkait

Mengaktifkan verifikasi pasca-SSO

Penerapan Wajib
Deskripsi

Jika Anda menggunakan penyedia identitas eksternal, siapkan verifikasi pasca-SSO.

Aktifkan lapisan kontrol tambahan berdasarkan analisis risiko login Google. Setelah Anda menerapkan setelan ini, pengguna mungkin melihat verifikasi login berbasis risiko tambahan saat login jika Google menentukan bahwa login pengguna mencurigakan.

Produk yang berlaku
  • Cloud Identity
  • Google Workspace
Kontrol NIST-800-53 terkait
  • IA-2
  • IA-5
  • IA-8
Kontrol profil CRI terkait
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-3.1
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Informasi terkait

Mengaktifkan kebijakan batas akses utama

Penerapan Wajib
Deskripsi

Aktifkan kebijakan principal access boundary (PAB) untuk membatasi akses entitas dan membantu melindungi dari phishing dan pemindahan data yang tidak sah. Aktifkan kebijakan PAB untuk organisasi guna menghindari serangan phishing eksternal. PAB meningkatkan keamanan dengan mengurangi tingkat serangan yang menggunakan identitas yang disusupi, dan juga membantu mencegah serangan phishing eksternal dan serangan eksfiltrasi lainnya.

Produk yang berlaku

IAM

Jalur iam.googleapis.com/PrincipalAccessBoundaryPolicy
Operator Disetel
Jenis String
Kontrol NIST-800-53 terkait
  • AC-3
Kontrol profil CRI terkait
  • PR.AC-3.1
Informasi terkait

Menerapkan tag untuk menetapkan kebijakan IAM dan kebijakan organisasi secara efisien

ID kontrol Google IAM-CO-6.1
Penerapan Disarankan
Deskripsi

Tag memberikan cara untuk membuat anotasi untuk resource, dan dalam beberapa kasus, mengizinkan atau menolak kebijakan secara bersyarat berdasarkan apakah resource memiliki tag tertentu. Gunakan tag dan penerapan kebijakan bersyarat untuk mendapatkan kontrol yang terperinci di seluruh hierarki resource Anda.

Produk yang berlaku

Resource Manager

Kontrol NIST-800-53 terkait
  • AC-2
  • AC-3
  • AC-5
Kontrol profil CRI terkait
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
Informasi terkait

Mengaudit perubahan berisiko tinggi pada IAM

ID kontrol Google IAM-CO-7.1
Penerapan Disarankan
Deskripsi

Gunakan Cloud Audit Logs untuk memantau aktivitas berisiko tinggi, seperti akun yang diberi peran berisiko tinggi seperti Admin Organisasi dan Admin Super. Siapkan notifikasi untuk jenis aktivitas ini.

Produk yang berlaku

Cloud Audit Logs

Kontrol NIST-800-53 terkait
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Kontrol profil CRI terkait
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informasi terkait

Memblokir akses ke Cloud Shell untuk akun pengguna terkelola Cloud Identity

ID kontrol Google CI-CO-6.8
Penerapan Disarankan
Deskripsi

Untuk menghindari pemberian akses yang berlebihan ke Cloud de Confiance by S3NS, blokir akses ke Cloud Shell untuk akun pengguna yang dikelola Cloud Identity.

Produk yang berlaku
  • Cloud Identity
  • Cloud Shell
Kontrol NIST-800-53 terkait
  • SC-7
  • SC-8
Kontrol profil CRI terkait
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informasi terkait

Mengonfigurasi Akses Kontekstual untuk konsol Google

ID kontrol Google IAM-CO-8.2
Penerapan Opsional
Deskripsi

Dengan Akses Kontekstual, Anda dapat membuat kebijakan keamanan kontrol akses terperinci untuk aplikasi berdasarkan berbagai atribut, seperti identitas pengguna, lokasi, status keamanan perangkat, dan alamat IP. Sebaiknya gunakan Akses Kontekstual untuk membatasi akses ke konsol Cloud de Confiance (https://console.cloud.google.com/) dan konsol Google Admin (https://admin.cloud.google.com).

Produk yang berlaku
  • Cloud Identity
  • Akses Kontekstual
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-12
  • AC-17
  • AC-20
  • SC-7
  • SC-8
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informasi terkait

Memblokir pemulihan mandiri akun untuk akun admin super

ID kontrol Google CI-CO-6.3
Penerapan Opsional
Deskripsi
Penyerang dapat menggunakan proses pemulihan mandiri untuk mereset sandi admin super. Untuk memitigasi risiko keamanan yang terkait dengan serangan Signaling System 7 (SS7), serangan SIM Swap, atau serangan phishing lainnya, sebaiknya nonaktifkan fitur ini. Untuk menonaktifkan fitur ini, buka setelan pemulihan akun di konsol Google Admin.
Produk yang berlaku
  • Cloud Identity
  • Google Workspace
Kontrol NIST-800-53 terkait
  • IA-2
  • IA-4
  • IA-5
Kontrol profil CRI terkait
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
Informasi terkait

Menonaktifkan layanan Google yang tidak digunakan

ID kontrol Google CI-CO-6.6
Penerapan Opsional
Deskripsi
Secara umum, sebaiknya nonaktifkan layanan yang tidak akan Anda gunakan.
Produk yang berlaku

Cloud Identity

Jalur http://admin.google.com > Apps > Additional Google Services
Operator Setelan
Nilai

False

Kontrol NIST-800-53 terkait
  • SC-7
  • SC-8
Kontrol profil CRI terkait
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informasi terkait

Organisasi

Bagian ini mencakup praktik terbaik dan pedoman untuk Organization Policy Service dan Resource Manager saat menjalankan workload di Cloud de Confiance by S3NS.

Membatasi versi TLS yang didukung oleh Google API

ID kontrol Google COM-CO-1.1
Penerapan Wajib
Deskripsi

Cloud de Confiance mendukung beberapa versi protokol TLS. Untuk memenuhi persyaratan kepatuhan, Anda mungkin ingin menolak permintaan handshake dari klien yang menggunakan versi TLS yang lebih lama.

Untuk mengonfigurasi kontrol ini, gunakan batasan kebijakan organisasi Membatasi Versi TLS (gcp.restrictTLSVersion). Anda dapat menerapkan batasan ini ke organisasi, folder, atau project dalam hierarki resource. Batasan Restrict TLS Versions menggunakan daftar penolakan, yang menolak nilai eksplisit dan mengizinkan semua nilai lainnya. Error terjadi jika Anda mencoba menggunakan daftar yang diizinkan.

Karena perilaku evaluasi hierarki kebijakan organisasi, pembatasan versi TLS berlaku untuk node resource yang ditentukan dan semua folder serta projectnya (turunan). Misalnya, jika Anda menolak TLS versi 1.0 untuk organisasi, TLS versi 1.0 juga akan ditolak untuk semua turunan yang berasal dari organisasi tersebut.

Anda dapat mengganti pembatasan versi TLS yang diwariskan dengan memperbarui kebijakan organisasi pada resource turunan. Misalnya, jika kebijakan organisasi Anda menolak TLS 1.0 di tingkat organisasi, Anda dapat menghapus batasan untuk folder turunan dengan menetapkan kebijakan organisasi terpisah pada folder tersebut. Jika folder memiliki turunan, kebijakan folder juga akan diterapkan pada setiap resource turunan karena pewarisan kebijakan.

Untuk lebih membatasi versi TLS hanya ke TLS 1.3, Anda dapat menetapkan kebijakan ini untuk juga membatasi versi TLS 1.2. Anda harus menerapkan kontrol ini pada aplikasi yang Anda hosting di dalam Cloud de Confiance by S3NS. Misalnya, di tingkat organisasi, tetapkan:

["TLS_VERSION_1","TLS_VERSION_1.1","TLS_VERSION_1.2"]

Produk yang berlaku

Semua; dikelola oleh Organization Policy Service

Jalur gcp.restrictTLSVersion
Operator ==
Nilai
  • TLS_VERSION_1
  • TLS_VERSION_1.1
Jenis String
ID kontrol Compliance Manager RESTRICT_LEGACY_TLS_VERSIONS
Kontrol NIST-800-53 terkait
  • SC-8
  • SC-13
Kontrol profil CRI terkait
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informasi terkait

Membatasi akun utama yang diizinkan

ID kontrol Google COM-CO-4.1
Penerapan Wajib
Deskripsi

Pastikan hanya identitas dari organisasi Anda yang diizinkan di Cloud de Confiance by S3NS lingkungan Anda. Gunakan batasan kebijakan organisasi Berbagi yang dibatasi domain (iam.allowedPolicyMemberDomains) atau iam.managed.allowedPolicyMembers untuk menentukan satu atau beberapa ID pelanggan Cloud Identity atau Google Workspace yang pokoknya dapat ditambahkan ke kebijakan Identity and Access Management (IAM).

Batasan ini membantu mencegah karyawan memberikan akses ke akun eksternal di luar kontrol organisasi Anda yang tidak mengikuti kebijakan keamanan Anda untuk autentikasi multi-faktor (MFA) atau pengelolaan sandi. Kontrol ini sangat penting untuk mencegah akses yang tidak sah, sehingga memastikan bahwa hanya identitas perusahaan terkelola yang tepercaya yang dapat digunakan.

Produk yang berlaku
  • Organization Policy Service
  • IAM
Jalur constraints/iam.allowedPolicyMemberDomains
Operator Adalah
Nilai

CUSTOMER_ID,ORG_ID

Jenis Daftar
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informasi terkait

Membatasi penggunaan layanan resource

ID kontrol Google RM-CO-4.1
Penerapan Wajib
Deskripsi

Batasan gcp.restrictServiceUsage memastikan bahwa hanya layanan yang disetujui Cloud de Confiance by S3NS yang digunakan di tempat yang tepat. Misalnya, folder produksi atau folder yang berisi data yang sangat sensitif memiliki daftar kecil Cloud de Confiance layanan yang disetujui untuk menyimpan data. Folder sandbox mungkin memiliki daftar layanan yang lebih besar dan kontrol keamanan data yang menyertainya untuk membantu mencegah pemindahan data yang tidak sah. Nilai ini khusus untuk sistem Anda dan cocok dengan daftar layanan dan dependensi yang disetujui untuk folder dan project tertentu.

Batasan ini memungkinkan organisasi Anda membuat daftar yang diizinkan untuk layanan yang disetujui, yang membantu mencegah karyawan menggunakan layanan yang tidak diperiksa.

Produk yang berlaku
  • Organization Policy Service
  • Resource Manager
Jalur constraints/gcp.restrictServiceUsage
Operator Adalah
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informasi terkait

Membatasi lokasi resource

ID kontrol Google RM-CO-4.2
Penerapan Wajib
Deskripsi

Batasan Lokasi Resource (gcp.resourceLocations) memastikan bahwa hanya region yang Anda setujui Cloud de Confiance by S3NS yang digunakan untuk menyimpan data. Nilai ini khusus untuk sistem Anda dan cocok dengan daftar wilayah yang disetujui organisasi Anda untuk residensi data.

Batasan ini memungkinkan organisasi Anda memastikan bahwa resource dan data Anda hanya dibuat dan disimpan di wilayah geografis tertentu yang telah disetujui.

Produk yang berlaku
  • Organization Policy Service
  • Resource Manager
Jalur constraints/gcp.resourceLocations
Operator Adalah
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informasi terkait

Jaringan

Bagian ini mencakup praktik terbaik dan panduan untuk Virtual Private Cloud (VPC) dan Cloud DNS saat menjalankan workload di Cloud de Confiance by S3NS.

Memblokir pembuatan jaringan default

ID kontrol Google VPC-CO-6.1
Penerapan Wajib
Deskripsi

Batasan boolean compute.skipDefaultNetworkCreation tidak akan membuat jaringan default dan resource terkait saat membuat project Cloud de Confiance by S3NS .

Jaringan default adalah jaringan Virtual Private Cloud (VPC) mode otomatis dengan aturan firewall IPv4 yang sudah terisi otomatis untuk mengizinkan jalur komunikasi internal. Secara umum, penyiapan ini bukan postur keamanan yang direkomendasikan untuk lingkungan produksi.

Produk yang berlaku
  • Organization Policy Service
  • Virtual Private Cloud (VPC)
Jalur constraints/compute.skipDefaultNetworkCreation
Nilai

True

Jenis Boolean
Kontrol NIST-800-53 terkait
  • SC-7
  • SC-8
Kontrol profil CRI terkait
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informasi terkait

Mengaktifkan DNS Security Extensions

ID kontrol Google DNS-CO-6.1
Penerapan Wajib
Deskripsi

Domain Name System Security Extensions (DNSSEC) adalah fitur Domain Name System (DNS) yang mengautentikasi respons terhadap pencarian nama domain. Fitur ini tidak memberikan perlindungan privasi untuk pencarian tersebut, tetapi mencegah penyerang memanipulasi atau merusak respons terhadap permintaan DNS.

Dalam Cloud DNS, aktifkan DNSSEC di tempat berikut:

  • Zona DNS
  • Domain level teratas (TLD)
  • Resolusi DNS
Produk yang berlaku

Cloud DNS

Kontrol NIST-800-53 terkait
  • SC-7
  • SC-8
Kontrol profil CRI terkait
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informasi terkait

Mengaktifkan Akses Google Pribadi

ID kontrol Google GCVE-CO-1.5
Penerapan Wajib
Deskripsi

Aktifkan Akses Google Pribadi di semua subnet.

Dengan mengaktifkan Akses Google Pribadi, layanan dapat mengakses Cloud de Confiance by S3NS layanan yang tidak memiliki alamat IP eksternal. Secara default, Akses Google Pribadi tidak diaktifkan di resource baru dan memerlukan langkah tambahan untuk mengaktifkannya secara eksplisit.

Produk yang berlaku

Virtual Private Cloud (VPC)

Kontrol NIST-800-53 terkait
  • SC-7
  • SC-8
  • SC-13
Kontrol profil CRI terkait
  • PR.AC-3.1
Informasi terkait

Mengaktifkan akses layanan pribadi untuk produsen layanan

ID kontrol Google GCVE-CO-1.6
Penerapan Wajib
Deskripsi

Aktifkan akses layanan pribadi untuk membuat jaringan pribadi antara Cloud de Confiance by S3NS layanan seperti jaringan lama Google Cloud VMware Engine dan produsen layanan seperti Cloud SQL. Akses layanan pribadi membantu menghindari pemaparan koneksi jaringan beban kerja ke internet secara tidak perlu.

Produk yang berlaku

Virtual Private Cloud (VPC)

Kontrol NIST-800-53 terkait
  • SC-7
  • SC-8
  • SC-13
Kontrol profil CRI terkait
  • PR.AC-3.1
Informasi terkait

Nonaktifkan IPv6 kecuali jika diperlukan

Penerapan Wajib
Deskripsi

Nonaktifkan pembuatan subnet eksternal IPv6 kecuali jika diperlukan secara khusus. Untuk mengurangi permukaan serangan, pertimbangkan untuk menonaktifkan IPv6 pada sistem dan jaringan yang tidak dikelola atau diperlukan secara aktif. Banyak organisasi memiliki kontrol dan pemantauan keamanan yang matang untuk IPv4, tetapi alat dan kebijakan mereka mungkin tidak sepenuhnya mencakup IPv6, yang dapat menciptakan titik buta yang signifikan terhadap ancaman. Menjalankan jaringan dual-stack juga menimbulkan kompleksitas operasional, yang memerlukan konfigurasi dan keahlian khusus untuk mengelola dan memecahkan masalah secara efektif. Oleh karena itu, jika Anda tidak memiliki pendorong bisnis yang jelas untuk IPv6, menonaktifkannya dapat menyederhanakan lingkungan Anda dan memastikan semua traffic difilter secara konsisten melalui postur keamanan IPv4 yang telah ditetapkan.

Produk yang berlaku

Compute Engine

Jalur constraints/compute.disableVpcExternalIpv6
Operator Adalah
Nilai

True

Jenis Boolean
Kontrol NIST-800-53 terkait
  • CM-7
Kontrol profil CRI terkait
  • PR.PT-3.1
Informasi terkait

Membatasi traffic keluar

Penerapan Wajib
Deskripsi

Batasi akses ke sumber eksternal karena secara default, semua akses keluar diizinkan. Tetapkan aturan firewall tertentu untuk pola traffic yang dimaksudkan yang perlu keluar.

Secara default, sistem sering kali diizinkan untuk membuat koneksi keluar ke internet, yang dapat dianggap sebagai risiko keamanan. Kebijakan tolak secara default memblokir traffic keluar dan mengharuskan aturan khusus dibuat hanya untuk tujuan yang diketahui dan diperlukan.

Produk yang berlaku

Cloud Next Generation Firewall

Jalur cloudasset.assets/assetType
Operator ==
Nilai

compute.googleapis.com/Firewall

Jenis String
Kontrol NIST-800-53 terkait
  • SC-7
Kontrol profil CRI terkait
  • PR.AC-3.1
Informasi terkait

Membatasi akses masuk ke port SSH dan RDP

Penerapan Wajib
Deskripsi

Jika memungkinkan, batasi akses masuk hanya ke resource dan rentang resource tertentu. Jika Identity-Aware Proxy (IAP) dikonfigurasi, tetapkan aturan firewall SSH dan Remote Desktop Protocol (RDP) inbound ke rentang IP IAP sebagai sumber.

Aturan firewall SSH dan RDP yang permisif memungkinkan terjadinya serangan brute force. Sebagai gantinya, gunakan proxy yang mendukung identitas Cloud de Confiance by S3NS (seperti IAP) untuk SSH dan RDP.

Produk yang berlaku

IAP

Jalur cloudasset.assets/assetType
Operator ==
Nilai

compute.googleapis.com/Firewall

Jenis String
Kontrol NIST-800-53 terkait
  • SC-7
Kontrol profil CRI terkait
  • PR.AC-3.1
Informasi terkait

Mengaktifkan Kontrol Layanan VPC

Penerapan Wajib
Deskripsi

Aktifkan Kontrol Layanan VPC sebagai lapisan perlindungan tambahan untuk mencegah potensi kehilangan data.

Kontrol Layanan VPC dapat membantu mencegah pemindahan data yang tidak sah dengan membuat perimeter isolasi di sekitar resource cloud, data sensitif, dan jaringan Anda.

Perimeter layanan membatasi kegunaan kredensial yang disusupi karena perimeter memblokir permintaan ke layanan yang dibatasi yang berasal dari endpoint yang dikontrol penyerang yang berada di luar lingkungan Anda.

Produk yang berlaku

Kontrol Layanan VPC

Jalur accesscontextmanager.accessPolicies.servicePerimeters/perimeterType
Operator ==
Nilai

PERIMETER_TYPE_REGULAR

Jenis String
Kontrol NIST-800-53 terkait
  • SC-7
  • SC-8
Kontrol profil CRI terkait
  • PR.AC-3.1
Informasi terkait

Menggunakan kebijakan Cloud Armor

Penerapan Wajib
Deskripsi

Untuk aplikasi yang diekspos di belakang Cloud Load Balancing, gunakan kebijakan default Google Cloud Armor atau konfigurasikan kebijakan Anda sendiri untuk menambahkan perlindungan jaringan Lapisan 3 hingga Lapisan 7 untuk aplikasi atau layanan yang dapat diakses dari luar. Kebijakan keamanan Cloud Armor membantu melindungi aplikasi Anda dengan menyediakan pemfilteran Lapisan 7. Kebijakan ini juga meninjau permintaan masuk untuk serangan web umum atau atribut Lapisan 7 lainnya, sehingga dapat memblokir traffic sebelum mencapai layanan backend ber-load balancer atau bucket backend Anda. Setiap kebijakan keamanan terdiri dari serangkaian aturan yang mencakup atribut dari Lapisan 3 hingga Lapisan 7.

Produk yang berlaku

Cloud Armor

Jalur compute.backendServices/securityPolicy
Operator Disetel
Jenis String
Kontrol NIST-800-53 terkait
  • SC-7
Kontrol profil CRI terkait
  • PR.AC-3.1
Informasi terkait

Aktifkan pembatasan cakupan layanan dalam kebijakan akses Access Context Manager

ID kontrol Google COM-CO-8.1
Penerapan Direkomendasikan untuk AI generatif pada kasus penggunaan
Deskripsi

Untuk setiap perimeter layanan, konfirmasi di konsol Cloud de Confiance bahwa jenis perimeter ditetapkan ke reguler.

Produk yang berlaku
  • Access Context Manager
  • Kontrol Layanan VPC
Jalur accesscontextmanager.accessPolicies.servicePerimeters/perimeterType
Operator ==
Nilai

PERIMETER_TYPE_REGULAR

Jenis String
Kontrol NIST-800-53 terkait
  • SC-7
  • SC-8
Kontrol profil CRI terkait
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informasi terkait

Membatasi API dalam perimeter layanan Kontrol Layanan VPC

ID kontrol Google COM-CO-8.2
Penerapan Direkomendasikan untuk AI generatif pada kasus penggunaan
Deskripsi

Untuk setiap perimeter layanan, gunakan Access Context Manager untuk mengonfirmasi bahwa perimeter melindungi API.

Produk yang berlaku
  • Kontrol Layanan VPC
  • Access Context Manager
Jalur accesscontextmanager.accessPolicies.servicePerimeters/status.restrictedServices
Operator Anyof
Nilai
  • aiplatform.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • cloudasset.googleapis.com
  • cloudbuild.googleapis.com
  • cloudfunctions.googleapis.com
  • cloudresourcemanager.googleapis.com
  • containeranalysis.googleapis.com
  • discoveryengine.googleapis.com
  • dns.googleapis.com
  • notebooks.googleapis.com
  • ondemandscanning.googleapis.com
  • orgpolicy.googleapis.com
  • pubsub.googleapis.com
  • secretmanager.googleapis.com
  • storage.googleapis.com
  • visionai.googleapis.com
Jenis String
Kontrol NIST-800-53 terkait
  • SC-7
  • SC-8
Kontrol profil CRI terkait
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
Informasi terkait

Menggunakan DNS zonal

ID kontrol Google DNS-CO-4.1
Penerapan Opsional
Deskripsi

Batasan boolean compute.setNewProjectDefaultToZonalDNSOnly memungkinkan Anda menetapkan setelan DNS internal untuk project baru agar hanya menggunakan DNS zona. Gunakan DNS zona karena menawarkan keandalan yang lebih tinggi dibandingkan dengan zona individual karena DNS zona mengisolasi kegagalan dalam pendaftaran DNS .

Produk yang berlaku

Kebijakan organisasi

Jalur constraints/compute.setNewProjectDefaultToZonalDNSOnly
Operator =
Nilai

True

Jenis Boolean
Kontrol NIST-800-53 terkait
  • AC-3
  • AC-17
  • AC-20
Kontrol profil CRI terkait
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Informasi terkait

Logging, pemantauan, pemberitahuan

Bagian ini mencakup praktik terbaik dan panduan untuk layanan logging dan audit di Cloud de Confiance by S3NS dan mengonfigurasi pemberitahuan untuk layanan seperti Penagihan Cloud.

Membagikan log audit dari Cloud Identity

ID kontrol Google CI-CO-6.5
Penerapan Wajib
Deskripsi

Jika menggunakan Cloud Identity, bagikan log audit dari Cloud Identity ke Cloud de Confiance by S3NS.

Log audit Aktivitas Admin dari Google Workspace atau Cloud Identity biasanya dikelola dan dilihat di konsol Google Admin, secara terpisah dari log di lingkungan Cloud de Confiance Anda. Log ini berisi informasi yang relevan untuk lingkungan Cloud de Confiance Anda, seperti peristiwa login pengguna.

Sebaiknya bagikan log audit Cloud Identity ke lingkungan Cloud de Confiance Anda untuk mengelola log secara terpusat dari semua sumber.

Produk yang berlaku
  • Google Workspace
  • Cloud Logging
  • Cloud Identity
Kontrol NIST-800-53 terkait
  • AC-2
  • AC-3
  • AC-8
  • AC-9
Kontrol profil CRI terkait
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
Informasi terkait

Menggunakan log audit

ID kontrol Google COM-CO-7.3
Penerapan Wajib
Deskripsi

LayananCloud de Confiance menulis entri log audit untuk menjawab siapa yang melakukan apa, di mana, dan kapan dengan resource Cloud de Confiance .

Aktifkan logging audit di tingkat organisasi. Anda dapat mengonfigurasi logging menggunakan pipeline yang Anda gunakan untuk menyiapkan organisasi Cloud de Confiance .

Produk yang berlaku

Cloud Audit Logs

Kontrol NIST-800-53 terkait
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Kontrol profil CRI terkait
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informasi terkait

Mengaktifkan Log Aliran VPC

ID kontrol Google COM-CO-7.4
Penerapan Wajib
Deskripsi

VPC Flow Logs mencatat sampel alur jaringan yang dikirim dari dan diterima oleh instance VM, termasuk yang digunakan sebagai node Google Kubernetes Engine (GKE). Sampel biasanya berjumlah 50% atau kurang dari alur jaringan VPC.

Dengan mengaktifkan Log Alur VPC, Anda mengaktifkan logging untuk semua VM di subnet. Namun, Anda dapat mengurangi jumlah informasi yang ditulis ke logging.

Aktifkan VPC Flow Logs untuk setiap subnet VPC. Anda dapat mengonfigurasi logging menggunakan pipeline yang Anda gunakan untuk membuat project.

Produk yang berlaku

Virtual Private Cloud

Kontrol NIST-800-53 terkait
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Kontrol profil CRI terkait
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informasi terkait

Mengaktifkan Firewall Rules Logging

ID kontrol Google COM-CO-7.5
Penerapan Wajib
Deskripsi

Secara default, aturan firewall tidak otomatis menulis log.Firewall Rules Logging memungkinkan Anda mengaudit, memverifikasi, dan menganalisis efek aturan firewall Anda. Misalnya, Anda dapat menentukan apakah aturan firewall yang dirancang untuk menolak traffic berfungsi sebagaimana mestinya. Logging juga berguna jika Anda ingin menentukan jumlah koneksi yang terpengaruh oleh aturan firewall tertentu.

Aktifkan logging untuk setiap aturan firewall. Anda dapat mengonfigurasi logging menggunakan pipeline yang Anda gunakan untuk membuat firewall.

Produk yang berlaku

Virtual Private Cloud

Kontrol NIST-800-53 terkait
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Kontrol profil CRI terkait
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informasi terkait

Mengaktifkan audit aktivitas administrator

ID kontrol Google COM-CO-7.1
Penerapan Wajib
Deskripsi

Secara default, Cloud de Confiance mengaktifkan dan tidak mengizinkan siapa pun menonaktifkan audit aktivitas administrator utama untuk akun istimewa.

Log audit Aktivitas Admin berisi entri log untuk panggilan API atau tindakan lain yang mengubah konfigurasi atau metadata resource. Misalnya, log ini mencatat saat pengguna membuat instance VM atau mengubah izin IAM.

Log audit Aktivitas Admin berisi entri log untuk pembuatan, modifikasi, dan penghapusan batasan kebijakan organisasi dari tingkat organisasi, folder, dan project.

Log audit Aktivitas Admin selalu ditulis; Anda tidak dapat mengonfigurasi, mengecualikan, atau menonaktifkannya. Meskipun Anda menonaktifkan Cloud Logging API, log audit Aktivitas Admin tetap dibuat.

Sebaiknya organisasi Anda menyiapkan kebijakan dan prosedur untuk memantau pemberitahuan ini, serta membuat tindakan atau pemberitahuan sesuai dengan kebijakan akses perusahaan Anda untuk memantau aktivitas administrator.

Produk yang berlaku

Cloud Audit Logs

Kontrol NIST-800-53 terkait
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Kontrol profil CRI terkait
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informasi terkait

Berlangganan buletin keamanan

ID kontrol Google GKE-CO-1.8
Penerapan Wajib
Deskripsi

Berlangganan notifikasi buletin keamanan untuk Cloud de Confiance by S3NS layanan guna menerima pemberitahuan tentang kerentanan dan langkah-langkah mitigasi.

Jika tersedia buletin keamanan yang relevan dengan layanan Anda (seperti GKE), layanan tersebut dapat memublikasikan notifikasi tentang peristiwa tersebut sebagai pesan ke topik Pub/Sub yang Anda konfigurasikan. Cloud de Confiance by S3NS Anda dapat menerima notifikasi ini di langganan Pub/Sub, berintegrasi dengan layanan pihak ketiga, dan memfilter jenis notifikasi yang ingin diterima.

Produk yang berlaku

Semua

Kontrol NIST-800-53 terkait
  • SI-5
Kontrol profil CRI terkait
  • PR.IP-1.4
Informasi terkait

Mengonfigurasi grup Kontak Penting

Penerapan Wajib
Deskripsi

Konfigurasi Kontak Penting untuk memastikan bahwa alias grup atau milis yang dipantau menerima notifikasi penting.

Google mengirimkan pemberitahuan keamanan penting (seperti potensi pembobolan akun) ke alamat email yang tercantum sebagai Kontak Penting. Jika email individu digunakan untuk tujuan ini, pemberitahuan akan terlewat jika orang tersebut tidak tersedia atau telah keluar dari perusahaan.

Menggunakan alamat email grup yang dipantau akan membantu memastikan bahwa pemberitahuan yang mendesak ini dikirimkan ke tim aktif yang dapat merespons dengan cepat.

Produk yang berlaku

Resource Manager

Jalur essentialcontacts.googleapis.com/Contact
Operator Disetel
Jenis String
Kontrol NIST-800-53 terkait
  • IR-4
Kontrol profil CRI terkait
  • PR.IP-1.4
Informasi terkait

Memantau anomali penagihan

Penerapan Wajib
Deskripsi

Gunakan fitur anomali penagihan di Penagihan Cloud untuk melacak lonjakan atau penyimpangan dalam pembelanjaan yang diharapkan.

Lonjakan tagihan cloud yang tiba-tiba dan tidak terduga adalah indikator utama kompromi keamanan. Lonjakan penagihan yang tidak terduga terkadang disebabkan oleh penyerang yang telah mendapatkan akses dan menggunakan resource untuk aktivitas yang tidak sah.

Mengaktifkan deteksi anomali penagihan akan menyediakan sistem peringatan dini yang penting sehingga Anda dapat menandai aktivitas mencurigakan ini secara otomatis.

Produk yang berlaku

Penagihan Cloud

Kontrol NIST-800-53 terkait
  • AU-6
Kontrol profil CRI terkait
  • DE.AE-1.1
Informasi terkait

Mengekspor log ke sink log untuk penyimpanan jangka panjang

Penerapan Wajib
Deskripsi

Buat sink log untuk mengekspor log bagi solusi pemantauan keamanan Anda dan tetapkan periode retensi data untuk memenuhi persyaratan Anda.

Periode retensi log default sering kali tidak cukup lama untuk memenuhi persyaratan 1-7 tahun yang diwajibkan oleh peraturan kepatuhan seperti PCI atau HIPAA.

Membuat sink log untuk mengekspor log ke lokasi penyimpanan jangka panjang sangat penting untuk memenuhi kewajiban hukum dan peraturan tertentu. Sink log juga memungkinkan Anda mengirim log ke sistem pemantauan keamanan terpusat untuk deteksi ancaman tingkat lanjut.

Produk yang berlaku

Cloud Logging

Jalur logging.googleapis.com/LogSink/disabled
Operator Adalah
Nilai

False

Jenis Boolean
Kontrol NIST-800-53 terkait
  • AU-9
Kontrol profil CRI terkait
  • PR.DS-4.1
Informasi terkait

Mengaktifkan log audit Akses Data

ID kontrol Google COM-CO-7.2
Penerapan Direkomendasikan untuk kasus penggunaan tertentu
Deskripsi

Untuk melacak siapa yang mengakses data di lingkungan Cloud de Confiance by S3NS Anda, aktifkan log audit Akses Data. Log ini mencatat panggilan API yang membaca, membuat, atau mengubah data pengguna, serta panggilan API yang membaca konfigurasi resource.

Sebaiknya aktifkan log audit Akses Data untuk model AI generatif dan data sensitif guna memastikan Anda dapat mengaudit siapa yang telah membaca informasi tersebut. Untuk menggunakan log audit Akses Data, Anda harus menyiapkan logika deteksi kustom sendiri untuk aktivitas tertentu, seperti login admin super.

Volume log audit Akses Data bisa besar. Mengaktifkan log Akses Data dapat menyebabkan project Cloud de Confiance Anda dikenai biaya untuk penggunaan log tambahan.

Produk yang berlaku

Cloud Audit Logs

Kontrol NIST-800-53 terkait
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Kontrol profil CRI terkait
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informasi terkait

Mengonfigurasi pemberitahuan penagihan

ID kontrol Google CB-CO-6.1
Penerapan Disarankan
Deskripsi

Hindari tagihan yang tidak terduga dengan membuat anggaran Penagihan Cloud untuk memantau semua biaya Cloud de Confiance by S3NS di satu tempat. Setelah menetapkan jumlah anggaran, tetapkan aturan nilai minimum pemberitahuan anggaran berdasarkan per project untuk memicu notifikasi email. Notifikasi ini membantu Anda melacak pengeluaran terhadap anggaran. Anda juga dapat menggunakan anggaran Penagihan Cloud untuk mengotomatiskan respons pengendalian biaya.

Produk yang berlaku

Penagihan Cloud

Kontrol NIST-800-53 terkait
  • SI-4
  • SI-5
Kontrol profil CRI terkait
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
  • ID.RA-1.1
  • ID.RA-2.1
  • ID.RA-3.1
  • ID.RA-3.2
  • ID.RA-3.3
Informasi terkait

Mengaktifkan log Transparansi Akses

ID kontrol Google COM-CO-7.7
Penerapan Opsional
Deskripsi

Log standar menunjukkan tindakan yang dilakukan pengguna organisasi Anda sendiri, tetapi log Transparansi Akses menunjukkan tindakan yang dilakukan staf dukungan Google saat mereka mengakses akun. Akses ini biasanya hanya terjadi sebagai respons terhadap permintaan dukungan. Log Transparansi Akses memberikan jejak audit yang lengkap dan dapat diverifikasi untuk semua akses, yang penting untuk memenuhi persyaratan kepatuhan dan tata kelola data yang ketat.

Anda dapat mengaktifkan Transparansi Akses di tingkat organisasi.

Produk yang berlaku

Transparansi Akses

Kontrol NIST-800-53 terkait
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Kontrol profil CRI terkait
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informasi terkait

Mengekspor data penagihan untuk analisis mendetail

ID kontrol Google CB-CO-6.2
Penerapan Opsional
Deskripsi

Untuk analisis penagihan lebih lanjut, Anda dapat mengekspor Cloud de Confiance by S3NS data penagihan ke BigQuery atau file JSON. Misalnya, Anda dapat mengekspor data mendetail secara otomatis, seperti penggunaan, perkiraan biaya, dan harga, sepanjang hari ke set data BigQuery yang Anda tentukan. Kemudian, Anda dapat mengakses data Penagihan Cloud dari BigQuery untuk memperoleh analisis yang mendetail, atau menggunakan alat seperti Data Studio untuk memvisualisasikan data Anda.

Produk yang berlaku
  • BigQuery Data Transfer Service
  • BigQuery
  • Penagihan Cloud
Kontrol NIST-800-53 terkait
  • SI-4
  • SI-5
Kontrol profil CRI terkait
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
  • ID.RA-1.1
  • ID.RA-2.1
  • ID.RA-3.1
  • ID.RA-3.2
  • ID.RA-3.3
Informasi terkait

Pengelolaan kunci dan secret

Bagian ini mencakup praktik terbaik dan panduan untuk Cloud Key Management Service dan Secret Manager saat menjalankan workload diCloud de Confiance by S3NS.

Mengenkripsi data saat istirahat di Cloud de Confiance

ID kontrol Google COM-CO-2.1
Penerapan Wajib (default)
Deskripsi

Semua data di Cloud de Confiance dienkripsi dalam penyimpanan secara default menggunakan algoritma yang disetujui NIST.

Produk yang berlaku

Cloud de Confiance default

Kontrol NIST-800-53 terkait
  • SC-28
Kontrol profil CRI terkait
  • PR.DS-1.1
  • PR.DS-1.2
Informasi terkait

Gunakan algoritma yang disetujui NIST untuk enkripsi dan dekripsi

ID kontrol Google COM-CO-2.4
Penerapan Wajib
Deskripsi

Pastikan Cloud Key Management Service (Cloud KMS) hanya menggunakan algoritma yang disetujui NIST untuk menyimpan kunci sensitif di lingkungan. Kontrol ini memastikan penggunaan kunci yang aman hanya dengan algoritma dan keamanan yang disetujui NIST. Kolom CryptoKeyVersionAlgorithm adalah daftar yang diizinkan yang diberikan.

Menghapus algoritma yang tidak mematuhi kebijakan organisasi Anda.

Produk yang berlaku

Cloud KMS

Jalur cloudkms.projects.locations.keyRings.cryptoKeys/versionTemplate.algorithm
Operator di
Nilai
  • RSA_SIGN_PSS_2048_SHA256
  • RSA_SIGN_PSS_3072_SHA256
  • RSA_SIGN_PSS_4096_SHA256
  • RSA_DECRYPT_OAEP_2048_SHA256
  • RSA_DECRYPT_OAEP_4096_SHA256
  • RSA_DECRYPT_OAEP_2048_SHA1
  • RSA_DECRYPT_OAEP_4096_SHA1
Jenis String
Kontrol NIST-800-53 terkait
  • SC-12
  • SC-13
Kontrol profil CRI terkait
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informasi terkait

Menetapkan tujuan untuk kunci Cloud KMS

ID kontrol Google COM-CO-2.5
Penerapan Wajib
Deskripsi

Tetapkan tujuan kunci Cloud KMS ke ENCRYPT_DECRYPT agar kunci hanya digunakan untuk mengenkripsi dan mendekripsi data. Kontrol ini memblokir fungsi lain, seperti penandatanganan, dan memastikan bahwa kunci hanya digunakan untuk tujuan yang dimaksudkan. Jika Anda menggunakan kunci untuk fungsi lain, validasi kasus penggunaan tersebut dan pertimbangkan untuk membuat kunci tambahan.

Produk yang berlaku

Cloud KMS

Jalur cloudkms.projects.locations.keyRings.cryptoKeys/purpose
Operator ==
Nilai

ENCRYPT_DECRYPT

Jenis String
Kontrol NIST-800-53 terkait
  • SC-12
  • SC-13
Kontrol profil CRI terkait
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informasi terkait

Pastikan setelan CMEK sesuai untuk data warehouse BigQuery yang aman

ID kontrol Google COM-CO-2.6
Penerapan Wajib
Deskripsi

Level perlindungan menunjukkan cara operasi kriptografi dilakukan. Setelah membuat kunci enkripsi yang dikelola pelanggan (CMEK), Anda tidak dapat mengubah tingkat perlindungan. Tingkat perlindungan yang didukung adalah sebagai berikut:

  • SOFTWARE: Operasi kriptografi dilakukan di software.
  • HSM: Operasi kriptografi dilakukan di modul keamanan hardware (HSM).
  • EKSTERNAL: Operasi kriptografi dilakukan menggunakan kunci yang disimpan di pengelola kunci eksternal yang terhubung ke Cloud de Confiance melalui internet. Terbatas pada enkripsi simetris dan penandatanganan asimetris.
  • EXTERNAL_VPC: Operasi kriptografi dilakukan menggunakan kunci yang disimpan di pengelola kunci eksternal yang terhubung ke Cloud de Confiance melalui jaringan Virtual Private Cloud (VPC). Terbatas pada enkripsi simetris dan penandatanganan asimetris.
Produk yang berlaku
  • Cloud KMS
  • BigQuery
Jalur cloudkms.projects.locations.keyRings.cryptoKeys/primary.protectionLevel
Operator di
Nilai

[]

Jenis String
Kontrol NIST-800-53 terkait
  • SC-12
  • SC-13
Kontrol profil CRI terkait
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informasi terkait

Merotasi kunci enkripsi setiap 90 hari

ID kontrol Google COM-CO-2.7
Penerapan Wajib
Deskripsi

Pastikan periode rotasi kunci Cloud KMS Anda ditetapkan ke 90 hari. Praktik terbaik umum adalah merotasi kunci keamanan Anda secara berkala. Kontrol ini menerapkan rotasi kunci untuk kunci yang dibuat dengan layanan HSM.

Saat membuat periode rotasi ini, buat juga kebijakan dan prosedur yang sesuai untuk menangani pembuatan, penghapusan, dan modifikasi materi utama secara aman sehingga Anda dapat membantu melindungi informasi Anda dan memastikan ketersediaan. Pastikan periode ini mematuhi kebijakan perusahaan Anda untuk rotasi kunci.

Produk yang berlaku

Cloud KMS

Jalur cloudkms.projects.locations.keyRings.cryptoKeys/rotationPeriod
Operator <=
Nilai

90

Jenis int32
Kontrol NIST-800-53 terkait
  • SC-12
  • SC-13
Kontrol profil CRI terkait
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informasi terkait

Menyiapkan rotasi secret otomatis

ID kontrol Google SM-CO-6.2
Penerapan Wajib
Deskripsi
Rotasikan secret secara otomatis dan sediakan prosedur rotasi darurat jika terjadi penyusupan.
Produk yang berlaku

Secret Manager

Kontrol NIST-800-53 terkait
  • SC-12
  • SC-13
Kontrol profil CRI terkait
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informasi terkait

Membuat strategi enkripsi terkelola

Penerapan Wajib
Deskripsi

Buat strategi pengelolaan enkripsi menggunakan Cloud Key Management Service (Cloud KMS) dengan Autokey, Cloud External Key Manager (Cloud EKM), atau keduanya. Strategi ini memungkinkan organisasi Anda menggunakan dan mengelola kunci enkripsinya sendiri untuk memenuhi persyaratan spesifik Anda. Penggunaan kunci enkripsi Anda sendiri memberikan kontrol terperinci yang dapat diaudit atas akses data, termasuk kemampuan untuk langsung memblokir akses ke data dengan menonaktifkan kunci.

Produk yang berlaku
  • Cloud KMS
  • Cloud EKM
Kontrol NIST-800-53 terkait
  • SC-12
Kontrol profil CRI terkait
  • PR.DS-1.1
Informasi terkait

Menggunakan CMEK untuk pesan Pub/Sub

ID kontrol Google PS-CO-6.1
Penerapan Disarankan
Deskripsi
Saat Anda mengaktifkan kunci enkripsi yang dikelola pelanggan (CMEK) untuk Pub/Sub, Anda akan mendapatkan kontrol yang lebih besar atas kunci enkripsi yang digunakan Pub/Sub untuk melindungi pesan Anda. Di lapisan aplikasi, Pub/Sub mengenkripsi setiap pesan masuk saat Pub/Sub menerimanya. Sebelum memublikasikan pesan ke langganan, Pub/Sub mengenkripsi pesan menggunakan kunci enkripsi data (DEK) terbaru yang dibuat untuk topik. Pub/Sub mendekripsi pesan sesaat sebelum dikirim ke pelanggan. Pub/Sub menggunakan Cloud de Confiance by S3NS akun layanan untuk mengakses Cloud Key Management Service. Akun layanan dikelola secara internal oleh Pub/Sub untuk setiap project, dan tidak terlihat dalam daftar akun layanan Anda.
Produk yang berlaku
  • Cloud KMS
  • Pub/Sub
Kontrol NIST-800-53 terkait
  • SC-12
  • SC-13
Kontrol profil CRI terkait
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informasi terkait

Membatasi lokasi kunci enkripsi yang dikelola pelanggan

ID kontrol Google COM-CO-2.2
Penerapan Disarankan
Deskripsi

Gunakan batasan kebijakan organisasi Batasi project mana yang dapat menyediakan CryptoKey KMS untuk CMEK (gcp.restrictCmekCryptoKeyProjects) untuk menentukan project mana yang dapat menyimpan kunci enkripsi yang dikelola pelanggan (CMEK). Batasan ini memungkinkan Anda memusatkan tata kelola dan pengelolaan kunci enkripsi. Jika kunci yang dipilih tidak memenuhi batasan ini, pembuatan resource akan gagal.

Untuk mengubah batasan ini, administrator memerlukan peran IAM Organization Policy Administrator (roles/orgpolicy.policyAdmin).

Jika Anda ingin menambahkan lapisan perlindungan kedua, seperti bawa kunci Anda sendiri, ubah batasan ini untuk merepresentasikan nama kunci CMEK yang diaktifkan.

Detail produk:

  • Di Gemini Enterprise Agent Platform, Anda menyimpan kunci di project KEY PROJECTS.
Produk yang berlaku
  • Cloud KMS
  • Kebijakan Organisasi
Jalur constraints/gcp.restrictCmekCryptoKeyProjects
Operator tidak ada
Nilai

KEY PROJECTS

Jenis String
Kontrol NIST-800-53 terkait
  • SC-12
  • SC-13
Kontrol profil CRI terkait
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informasi terkait

Menggunakan CMEK untuk layanan Cloud de Confiance

ID kontrol Google COM-CO-2.3
Penerapan Disarankan
Deskripsi

Jika memerlukan kontrol lebih besar atas operasi kunci daripada yang diizinkan oleh Google Cloud-powered encryption keys , Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Kunci ini dibuat dan dikelola menggunakan Cloud KMS. Simpan kunci sebagai kunci software, dalam cluster HSM, atau dalam sistem pengelolaan kunci eksternal.

Tingkat enkripsi dan dekripsi Cloud KMS bergantung pada kuota.

Spesifikasi Cloud Storage

Di Cloud Storage, gunakan CMEK pada setiap objek, atau konfigurasi bucket Cloud Storage Anda untuk menggunakan CMEK secara default pada semua objek baru yang ditambahkan ke bucket. Saat menggunakan CMEK, objek dienkripsi dengan kunci tersebut oleh Cloud Storage pada saat disimpan dalam bucket, dan objek secara otomatis didekripsi oleh Cloud Storage saat objek disajikan kepada pemohon.

Batasan berikut berlaku saat menggunakan CMEK dengan Cloud Storage:

  • Anda tidak dapat mengenkripsi objek dengan CMEK dengan memperbarui metadata objek. Sertakan kunci sebagai bagian dari penulisan ulang objek.
  • Cloud Storage Anda menggunakan perintah update objek untuk menetapkan kunci enkripsi pada objek, tetapi perintah tersebut akan menulis ulang objek sebagai bagian dari permintaan.
  • Anda harus membuat key ring Cloud KMS di lokasi yang sama dengan data yang ingin Anda enkripsi. Misalnya, jika bucket Anda berada di us-east1, key ring apa pun yang digunakan untuk mengenkripsi objek di bucket tersebut juga harus dibuat di us-east1.
  • Untuk sebagian besar dual-region, Anda harus membuat key ring Cloud KMS di multi-region yang terkait. Misalnya, jika bucket Anda berada di pasangan us-east1, us-west1, key ring apa pun yang digunakan untuk mengenkripsi objek di bucket tersebut harus dibuat di multi-region Amerika Serikat.
  • Untuk dual-region asia1, eur4, dan nam4 yang telah ditetapkan sebelumnya, Anda harus membuat key ring di dual-region yang sama yang telah ditetapkan sebelumnya.
  • Checksum CRC32C dan hash MD5 objek yang dienkripsi dengan CMEK tidak ditampilkan saat mencantumkan objek dengan JSON API.
  • Menggunakan alat seperti Cloud Storage untuk melakukan permintaan GET metadata tambahan pada setiap objek enkripsi guna mengambil informasi CRC32C dan MD5 dapat membuat daftar menjadi jauh lebih pendek. Cloud Storage tidak dapat menggunakan bagian dekripsi dari kunci asimetris yang disimpan di Cloud KMS untuk secara otomatis mendekripsi objek yang relevan dengan cara yang sama seperti yang dilakukan oleh CMEK.
Produk yang berlaku
  • Cloud KMS
  • Kebijakan Organisasi
  • Cloud Storage
Jalur constraints/gcp.restrictNonCmekServices
Operator ==
Nilai
  • bigquery.googleapis.com
  • storage.googleapis.com
  • aiplatform.googleapis.com
Jenis String
Kontrol NIST-800-53 terkait
  • SC-12
  • SC-13
Kontrol profil CRI terkait
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informasi terkait

Mereplikasi secret secara otomatis

ID kontrol Google SM-CO-6.1
Penerapan Disarankan
Deskripsi
Pilih kebijakan replikasi otomatis untuk mereplikasi rahasia Anda, kecuali jika workload Anda memiliki persyaratan lokasi tertentu. Kebijakan otomatis memenuhi kebutuhan ketersediaan dan performa sebagian besar workload. Jika workload Anda memiliki persyaratan lokasi tertentu, Anda dapat menggunakan API untuk memilih lokasi kebijakan replikasi saat membuat rahasia.
Produk yang berlaku

Secret Manager

Kontrol NIST-800-53 terkait
  • SC-12
  • SC-13
Kontrol profil CRI terkait
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Informasi terkait

Postur keamanan dan analisis

Dokumen ini mencakup praktik terbaik dan panduan untuk Security Command Center saat menjalankan workload di Cloud de Confiance by S3NS.

Mengaktifkan Security Command Center di tingkat organisasi

ID kontrol Google SCC-CO-6.1
Penerapan Wajib
Deskripsi
Aktifkan Security Command Center di tingkat organisasi untuk menghindari konfigurasi tambahan. Jika tidak ingin menggunakan Security Command Center, Anda harus mengaktifkan solusi pengelolaan postur lainnya.
Produk yang berlaku

Security Command Center

Kontrol NIST-800-53 terkait
  • SI-4
  • SI-5
Kontrol profil CRI terkait
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
  • ID.RA-1.1
  • ID.RA-2.1
  • ID.RA-3.1
  • ID.RA-3.2
  • ID.RA-3.3
Informasi terkait

Mengonfigurasi pemberitahuan dari Security Command Center

ID kontrol Google SCC-CO-7.1
Penerapan Disarankan
Deskripsi
Pemberitahuan dari Security Command Center memberikan visibilitas ke dalam organisasi Anda dan memberi tahu Anda tentang masalah pada layanan Cloud de Confiance by S3NS Anda sehingga Anda dapat mengambil tindakan yang sesuai. Anda dapat menyiapkan pemberitahuan di Cloud Logging untuk mendapatkan notifikasi tentang error yang terkait dengan agen layanan Security Command Center (service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com).
Produk yang berlaku
  • Security Command Center
  • Logging
Kontrol NIST-800-53 terkait
  • AU-2
  • AU-3
  • AU-8
  • AU-9
Kontrol profil CRI terkait
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
Informasi terkait

Langkah berikutnya