Dokumen ini mencakup praktik terbaik dan pedoman untuk membangun fondasi perusahaan yang aman saat menjalankan workload yang menggunakanCloud de Confiance by S3NS. Fondasi perusahaan yang aman mencakup kontrol untuk hal-hal berikut:
- Autentikasi dan otorisasi
- Organisasi
- Jaringan
- Logging, pemantauan, dan pemberitahuan
- Pengelolaan kunci dan rahasia
- Postur dan analisis keamanan
Autentikasi dan otorisasi
Bagian ini mencakup praktik terbaik dan panduan untuk Identity and Access Management (IAM) dan Cloud Identity saat menjalankan beban kerja di Cloud de Confiance by S3NS.
Menonaktifkan pemberian IAM otomatis untuk akun layanan default
| ID kontrol Google | IAM-CO-4.1 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Gunakan batasan boolean Secara default, beberapa sistem memberikan izin yang terlalu luas ke akun otomatis, yang merupakan potensi risiko keamanan. Misalnya, jika Anda tidak menerapkan batasan ini dan Anda membuat akun layanan default, akun layanan tersebut akan otomatis diberi peran Editor ( |
| Produk yang berlaku |
|
| Jalur | constraints/iam.automaticIamGrantsForDefaultServiceAccounts |
| Operator | Adalah |
| Nilai |
|
| Jenis | Boolean |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Memblokir pembuatan kunci akun layanan eksternal
| ID kontrol Google | IAM-CO-4.2 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Gunakan batasan boolean |
| Produk yang berlaku |
|
| Jalur | constraints/iam.disableServiceAccountKeyCreation |
| Operator | Adalah |
| Nilai |
|
| Jenis | Boolean |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Memblokir upload kunci akun layanan
| ID kontrol Google | IAM-CO-4.3 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Gunakan batasan boolean |
| Produk yang berlaku |
|
| Jalur | constraints/iam.disableServiceAccountKeyUpload |
| Operator | Adalah |
| Nilai |
|
| Jenis | Boolean |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengonfigurasi pemisahan tugas untuk administrator kebijakan organisasi
| ID kontrol Google | OPS-CO-6.1 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Tetapkan peran Administrator Kebijakan Organisasi (
roles/orgpolicy.policyAdmin) kepada grup yang bertanggung jawab atas postur keamanan organisasi Cloud de Confiance by S3NS . Untuk menghindari pembuatan resource yang melanggar kebijakan keamanan, jangan tetapkan peran ini kepada pemilik project. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengaktifkan verifikasi dua langkah untuk akun admin super
| ID kontrol Google | CI-CO-6.1 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Google merekomendasikan Kunci Keamanan Titan untuk verifikasi 2 langkah (2SV) untuk akun admin super. Namun, untuk kasus penggunaan yang tidak memungkinkan hal ini, sebaiknya gunakan kunci keamanan lain sebagai alternatif. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menerapkan verifikasi dua langkah di unit organisasi admin super
| ID kontrol Google | CI-CO-6.2 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Menerapkan verifikasi 2 langkah (2SV) untuk unit organisasi (OU) tertentu atau seluruh organisasi. Sebaiknya buat OU untuk admin super dan terapkan Verifikasi 2 Langkah di OU tersebut. |
| Produk yang berlaku |
Cloud Identity |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Buat alamat email eksklusif untuk admin super utama
| ID kontrol Google | CI-CO-6.4 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Buat alamat email yang tidak spesifik untuk pengguna tertentu sebagai akun admin super Cloud Identity utama.
|
| Produk yang berlaku |
Cloud Identity |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Buat akun administrator yang redundan
| ID kontrol Google | CI-CO-6.7 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Tidak memiliki satu-satunya admin super atau Administrator Organisasi. Buat satu atau beberapa (hingga 20) akun administrator cadangan. Satu-satunya admin super atau Administrator Organisasi dapat menyebabkan skenario terkunci. Situasi ini juga membawa risiko yang lebih tinggi karena satu orang dapat membuat perubahan yang memengaruhi platform, yang berpotensi tanpa pengawasan. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menggunakan Privileged Access Manager
| ID kontrol Google | GCVE-CO-3.2 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Gunakan Privileged Access Manager untuk mengelola akses istimewa. Untuk semua akses lainnya, gunakan grup akses, biarkan masa berlaku keanggotaan grup berakhir secara otomatis, dan terapkan alur kerja persetujuan untuk keanggotaan grup. Dengan menggunakan model hak istimewa terendah, Anda hanya dapat memberikan akses saat diperlukan, untuk resource yang diperlukan. Penggunaan peran bawaan menyederhanakan penggunaan dan mengurangi penyebaran yang disebabkan oleh peran kustom sehingga Anda tidak perlu khawatir tentang pengelolaan siklus proses peran. |
| Produk yang berlaku |
Identity and Access Management (IAM) |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menentukan sumber tepercaya identitas
| Penerapan | Wajib |
|---|---|
| Deskripsi | Tentukan sumber tepercaya Anda untuk menyediakan identitas pengguna terkelola. Pola ini mencakup pembuatan identitas pengguna di Cloud Identity, menyinkronkan identitas dari penyedia identitas yang ada, atau menggunakan Workforce Identity Federation. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menerapkan kebijakan sandi kuat
| Penerapan | Wajib |
|---|---|
| Deskripsi | Menerapkan sandi yang kuat dan unik untuk semua akun pengguna. Pertimbangkan untuk menggunakan pengelola sandi. Kredensial yang lemah atau tidak ada adalah pola umum yang dapat dengan mudah dieksploitasi oleh pengguna berbahaya. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menggunakan peran berdasarkan fungsi tugas
| Penerapan | Wajib |
|---|---|
| Deskripsi | Gunakan peran Identity and Access Management (IAM) yang didasarkan pada fungsi tugas untuk menetapkan izin kepada pengguna. Fungsi tugas adalah peran bawaan yang memungkinkan admin memberikan serangkaian izin yang terbatas pada fungsi tugas, sehingga meningkatkan produktivitas dan mengurangi bolak-balik meminta izin. Untuk lebih menyelaraskan dengan persyaratan organisasi Anda, Anda dapat membuat peran khusus berdasarkan peran bawaan. |
| Produk yang berlaku |
IAM |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Membatasi anggota eksternal dalam grup
| Penerapan | Wajib |
|---|---|
| Deskripsi | Menetapkan kebijakan seluruh organisasi untuk mencegah penambahan anggota eksternal ke Google Grup. Secara default, akun pengguna eksternal dapat ditambahkan ke grup di Cloud Identity. Sebaiknya Anda mengonfigurasi setelan berbagi agar pemilik grup tidak dapat menambahkan anggota eksternal. Perhatikan bahwa pembatasan ini tidak berlaku untuk akun admin super atau untuk administrator lain yang didelegasikan dengan izin admin Google Grup. Karena federasi dari penyedia identitas Anda berjalan dengan hak istimewa administrator, setelan berbagi grup tidak berlaku untuk sinkronisasi grup ini. Sebaiknya tinjau kontrol di penyedia identitas dan mekanisme sinkronisasi untuk memastikan bahwa anggota non-domain tidak ditambahkan ke grup, atau Anda menerapkan batasan grup. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menyetel durasi sesi harian
| Penerapan | Wajib |
|---|---|
| Deskripsi | Tetapkan durasi sesi untuk layanan Cloud de Confiance by S3NS agar berakhir setidaknya sekali sehari. Membiarkan akun tetap login dalam jangka waktu yang lama merupakan risiko keamanan. Menerapkan durasi sesi maksimum akan otomatis mengakhiri sesi setelah waktu yang ditetapkan, sehingga memaksa login baru yang aman. Praktik ini mengurangi peluang pengguna berbahaya menggunakan sandi yang dicuri dan memastikan akses diverifikasi ulang secara rutin. Untuk pelanggan baru, durasi sesi default 16 jam akan otomatis diterapkan. Pelanggan yang membuat organisasi Cloud de Confiance by S3NS sebelum tahun 2023 mungkin memiliki setelan default untuk tidak pernah mewajibkan autentikasi ulang. Tinjau setelan ini untuk memastikan bahwa Anda memiliki kebijakan autentikasi ulang dengan durasi sesi antara 1 hingga 24 jam. Kebijakan autentikasi ulang akan membatalkan validasi token refresh dan memaksa pengguna untuk mengautentikasi ulang gcloud CLI secara teratur dengan sandi atau kunci keamanannya. Durasi sesi untuk layanan Cloud de Confiance by S3NS adalah setelan yang berbeda dari durasi sesi untuk layanan Google, yang mengontrol sesi web untuk login di seluruh layanan Google Workspace, tetapi tidak mengontrol autentikasi ulang untuk Cloud de Confiance by S3NS. Jika Anda menggunakan layanan Google Workspace, tetapkan durasi sesi untuk keduanya. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Memperbaiki akun konsumen yang tidak dikelola
| Penerapan | Wajib |
|---|---|
| Deskripsi | Jangan izinkan akun konsumen yang tidak dikelola. Gabungkan semua akun konsumen yang tidak dikelola, dan pertimbangkan solusi untuk mencegah pembuatan akun konsumen yang tidak dikelola lebih lanjut dengan domain Anda. Akun konsumen yang tidak dikelola tidak diatur oleh proses joiner-mover-leaver (JML) Anda, sehingga menimbulkan risiko bahwa karyawan masih memiliki akses ke resource Anda setelah mereka keluar dari pekerjaannya. Akun ini juga diperlakukan sebagai eksternal terkait kontrol seperti berbagi yang dibatasi domain. |
| Produk yang berlaku |
Cloud Identity |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menerapkan admin khusus dan persetujuan banyak pihak
| Penerapan | Wajib |
|---|---|
| Deskripsi | Pastikan akun admin super terpisah dari akun pengguna sehari-hari. Akun admin super harus berupa akun khusus yang hanya digunakan saat membuat perubahan penting. Untuk meningkatkan keamanan, aktifkan persetujuan banyak pihak untuk tindakan admin. Mengaktifkan persetujuan banyak pihak berarti tindakan sensitif disetujui oleh dua administrator, yang membantu mencegah penyerang membahayakan akun admin dan mengunci pengguna admin lainnya. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengaktifkan autentikasi multi-faktor untuk semua pengguna Akun Google dan Cloud Identity
| ID kontrol Google | CI-CO-6.1 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Aktifkan autentikasi multi-faktor (MFA), yang juga dikenal sebagai autentikasi 2 langkah (2SV) untuk semua pengguna Akun Google dan Cloud Identity, bukan hanya admin super. MFA untuk admin super diaktifkan secara default. MFA menambahkan lapisan pertahanan lain karena sandi saja sering kali tidak cukup kuat sebagai langkah keamanan. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mencabut peran kreator default
| Penerapan | Wajib |
|---|---|
| Deskripsi | Hapus peran Project Creator dan Billing Account Creator di seluruh domain yang diberikan secara default kepada semua anggota di organisasi baru. Organisasi baru memberikan peran Project Creator dan Billing Account Creator kepada semua identitas pengguna terkelola di domain. Meskipun berguna untuk memulai, konfigurasi ini tidak ditujukan untuk lingkungan produksi. Membiarkan akun penagihan berkembang biak menyebabkan peningkatan beban administratif dan memiliki konsekuensi teknis saat memisahkan layanan di beberapa Akun Penagihan. Mengizinkan pembuatan project bentuk bebas dapat menyebabkan project tidak mematuhi konvensi tata kelola Anda. Sebagai gantinya, hapus peran ini dan buat proses pembuatan project untuk meminta project baru dan mengaitkannya dengan penagihan. |
| Produk yang berlaku |
IAM |
| Jalur | resourcemanager.organizations/iamPolicy.bindings |
| Operator | not_contains |
| Nilai |
|
| Jenis | String |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Merotasi kunci akun layanan
| Penerapan | Wajib |
|---|---|
| Deskripsi | Jika Anda harus menggunakan kunci akun layanan, rotasi kunci setidaknya sekali setiap 90 hari. Interval rotasi membatasi berapa lama penyerang dapat memiliki akses ke sistem. Tanpa interval rotasi, penyerang akan memiliki akses selamanya. Jika memungkinkan, sebaiknya gunakan Workload Identity Federation, bukan kunci akun layanan. |
| Produk yang berlaku |
IAM |
| Jalur | constraints/iam.serviceAccountKeyExpiryHours |
| Operator | <= |
| Nilai |
|
| Jenis | String |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menggunakan Workload Identity Federation
| Penerapan | Wajib |
|---|---|
| Deskripsi | Gunakan Workload Identity Federation agar sistem CI/CD dan workload yang berjalan di cloud lain dapat melakukan autentikasi ke Cloud de Confiance by S3NS. Workload Identity Federation memungkinkan beban kerja yang berjalan di luar Cloud de Confiance melakukan autentikasi tanpa memerlukan kunci akun layanan. Dengan menghindari kunci akun layanan dan kredensial lain yang aktif dalam waktu lama, Workload Identity Federation dapat membantu Anda mengurangi risiko kebocoran kredensial. |
| Produk yang berlaku |
IAM |
| Jalur | iam.googleapis.com/WorkloadIdentityPool |
| Operator | Disetel |
| Jenis | String |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Memblokir pemulihan mandiri akun untuk akun admin super
| ID kontrol Google | CI-CO-6.3 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Secara default, pemulihan mandiri akun admin super dinonaktifkan untuk pelanggan baru. Namun, pelanggan lama mungkin mengaktifkan setelan ini. Menonaktifkan setelan ini membantu mengurangi risiko bahwa ponsel yang disusupi, email yang disusupi, atau serangan manipulasi psikologis dapat memungkinkan penyerang mendapatkan hak istimewa admin super atas lingkungan Anda. Rencanakan proses internal bagi admin super untuk menghubungi admin super lain di organisasi Anda jika mereka kehilangan akses ke akunnya, dan pastikan semua admin super memahami proses pemulihan yang dibantu dukungan. Untuk menonaktifkan fitur ini, buka setelan pemulihan akun di konsol Google Admin. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menetapkan waktu tunggu sesi tidak ada aktivitas untuk kasus penggunaan sensitif
| Penerapan | Wajib |
|---|---|
| Deskripsi | Tetapkan waktu tunggu sesi tidak ada aktivitas menjadi 15 menit untuk kasus penggunaan sensitif. Sesi yang tidak aktif dapat digunakan oleh penyerang untuk pencurian kredensial. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menerapkan kunci keamanan hardware untuk administrator
| Penerapan | Wajib |
|---|---|
| Deskripsi | Berikan kunci keamanan hardware, jika memungkinkan, kepada admin super atau Administrator Organisasi sebagai faktor kedua. Akun admin super adalah target bernilai tertinggi untuk serangan canggih. Kunci keamanan hardware memberikan tingkat perlindungan yang tinggi karena tahan terhadap phishing. Kunci keamanan hardware adalah pertahanan terkuat terhadap pengambilalihan akun untuk administrator terpenting Anda dan dibuat berdasarkan kebijakan MFA standar Anda. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengaktifkan verifikasi pasca-SSO
| Penerapan | Wajib |
|---|---|
| Deskripsi | Jika Anda menggunakan penyedia identitas eksternal, siapkan verifikasi pasca-SSO. Aktifkan lapisan kontrol tambahan berdasarkan analisis risiko login Google. Setelah Anda menerapkan setelan ini, pengguna mungkin melihat verifikasi login berbasis risiko tambahan saat login jika Google menentukan bahwa login pengguna mencurigakan. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengaktifkan kebijakan batas akses utama
| Penerapan | Wajib |
|---|---|
| Deskripsi | Aktifkan kebijakan principal access boundary (PAB) untuk membatasi akses entitas dan membantu melindungi dari phishing dan pemindahan data yang tidak sah. Aktifkan kebijakan PAB untuk organisasi guna menghindari serangan phishing eksternal. PAB meningkatkan keamanan dengan mengurangi tingkat serangan yang menggunakan identitas yang disusupi, dan juga membantu mencegah serangan phishing eksternal dan serangan eksfiltrasi lainnya. |
| Produk yang berlaku |
IAM |
| Jalur | iam.googleapis.com/PrincipalAccessBoundaryPolicy |
| Operator | Disetel |
| Jenis | String |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menerapkan tag untuk menetapkan kebijakan IAM dan kebijakan organisasi secara efisien
| ID kontrol Google | IAM-CO-6.1 |
|---|---|
| Penerapan | Disarankan |
| Deskripsi | Tag memberikan cara untuk membuat anotasi untuk resource, dan dalam beberapa kasus, mengizinkan atau menolak kebijakan secara bersyarat berdasarkan apakah resource memiliki tag tertentu. Gunakan tag dan penerapan kebijakan bersyarat untuk mendapatkan kontrol yang terperinci di seluruh hierarki resource Anda. |
| Produk yang berlaku |
Resource Manager |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengaudit perubahan berisiko tinggi pada IAM
| ID kontrol Google | IAM-CO-7.1 |
|---|---|
| Penerapan | Disarankan |
| Deskripsi | Gunakan Cloud Audit Logs untuk memantau aktivitas berisiko tinggi, seperti akun yang diberi peran berisiko tinggi seperti Admin Organisasi dan Admin Super. Siapkan notifikasi untuk jenis aktivitas ini. |
| Produk yang berlaku |
Cloud Audit Logs |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Memblokir akses ke Cloud Shell untuk akun pengguna terkelola Cloud Identity
| ID kontrol Google | CI-CO-6.8 |
|---|---|
| Penerapan | Disarankan |
| Deskripsi | Untuk menghindari pemberian akses yang berlebihan ke Cloud de Confiance by S3NS, blokir akses ke Cloud Shell untuk akun pengguna yang dikelola Cloud Identity. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengonfigurasi Akses Kontekstual untuk konsol Google
| ID kontrol Google | IAM-CO-8.2 |
|---|---|
| Penerapan | Opsional |
| Deskripsi | Dengan Akses Kontekstual, Anda dapat membuat kebijakan keamanan kontrol akses terperinci untuk aplikasi berdasarkan berbagai atribut, seperti identitas pengguna, lokasi, status keamanan perangkat, dan alamat IP. Sebaiknya gunakan Akses Kontekstual untuk membatasi akses ke konsol Cloud de Confiance (https://console.cloud.google.com/) dan konsol Google Admin (https://admin.cloud.google.com). |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Memblokir pemulihan mandiri akun untuk akun admin super
| ID kontrol Google | CI-CO-6.3 |
|---|---|
| Penerapan | Opsional |
| Deskripsi | Penyerang dapat menggunakan proses pemulihan mandiri untuk mereset sandi admin super. Untuk memitigasi risiko keamanan yang terkait dengan serangan Signaling System 7 (SS7), serangan SIM Swap, atau serangan phishing lainnya, sebaiknya nonaktifkan fitur ini. Untuk menonaktifkan fitur ini, buka setelan pemulihan akun di konsol Google Admin.
|
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menonaktifkan layanan Google yang tidak digunakan
| ID kontrol Google | CI-CO-6.6 |
|---|---|
| Penerapan | Opsional |
| Deskripsi | Secara umum, sebaiknya nonaktifkan layanan yang tidak akan Anda gunakan.
|
| Produk yang berlaku |
Cloud Identity |
| Jalur | http://admin.google.com > Apps > Additional Google Services |
| Operator | Setelan |
| Nilai |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Organisasi
Bagian ini mencakup praktik terbaik dan pedoman untuk Organization Policy Service dan Resource Manager saat menjalankan workload di Cloud de Confiance by S3NS.
Membatasi versi TLS yang didukung oleh Google API
| ID kontrol Google | COM-CO-1.1 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Cloud de Confiance mendukung beberapa versi protokol TLS. Untuk memenuhi persyaratan kepatuhan, Anda mungkin ingin menolak permintaan handshake dari klien yang menggunakan versi TLS yang lebih lama. Untuk mengonfigurasi kontrol ini, gunakan batasan kebijakan organisasi Membatasi Versi TLS ( Karena perilaku evaluasi hierarki kebijakan organisasi, pembatasan versi TLS berlaku untuk node resource yang ditentukan dan semua folder serta projectnya (turunan). Misalnya, jika Anda menolak TLS versi 1.0 untuk organisasi, TLS versi 1.0 juga akan ditolak untuk semua turunan yang berasal dari organisasi tersebut. Anda dapat mengganti pembatasan versi TLS yang diwariskan dengan memperbarui kebijakan organisasi pada resource turunan. Misalnya, jika kebijakan organisasi Anda menolak TLS 1.0 di tingkat organisasi, Anda dapat menghapus batasan untuk folder turunan dengan menetapkan kebijakan organisasi terpisah pada folder tersebut. Jika folder memiliki turunan, kebijakan folder juga akan diterapkan pada setiap resource turunan karena pewarisan kebijakan. Untuk lebih membatasi versi TLS hanya ke TLS 1.3, Anda dapat menetapkan kebijakan ini untuk juga membatasi versi TLS 1.2. Anda harus menerapkan kontrol ini pada aplikasi yang Anda hosting di dalam Cloud de Confiance by S3NS. Misalnya, di tingkat organisasi, tetapkan:
|
| Produk yang berlaku |
Semua; dikelola oleh Organization Policy Service |
| Jalur | gcp.restrictTLSVersion |
| Operator | == |
| Nilai |
|
| Jenis | String |
| ID kontrol Compliance Manager | RESTRICT_LEGACY_TLS_VERSIONS |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Membatasi akun utama yang diizinkan
| ID kontrol Google | COM-CO-4.1 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Pastikan hanya identitas dari organisasi Anda yang diizinkan di Cloud de Confiance by S3NS lingkungan Anda. Gunakan batasan kebijakan organisasi Berbagi yang dibatasi domain ( Batasan ini membantu mencegah karyawan memberikan akses ke akun eksternal di luar kontrol organisasi Anda yang tidak mengikuti kebijakan keamanan Anda untuk autentikasi multi-faktor (MFA) atau pengelolaan sandi. Kontrol ini sangat penting untuk mencegah akses yang tidak sah, sehingga memastikan bahwa hanya identitas perusahaan terkelola yang tepercaya yang dapat digunakan. |
| Produk yang berlaku |
|
| Jalur | constraints/iam.allowedPolicyMemberDomains |
| Operator | Adalah |
| Nilai |
|
| Jenis | Daftar |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Membatasi penggunaan layanan resource
| ID kontrol Google | RM-CO-4.1 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Batasan Batasan ini memungkinkan organisasi Anda membuat daftar yang diizinkan untuk layanan yang disetujui, yang membantu mencegah karyawan menggunakan layanan yang tidak diperiksa. |
| Produk yang berlaku |
|
| Jalur | constraints/gcp.restrictServiceUsage |
| Operator | Adalah |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Membatasi lokasi resource
| ID kontrol Google | RM-CO-4.2 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Batasan Lokasi Resource ( Batasan ini memungkinkan organisasi Anda memastikan bahwa resource dan data Anda hanya dibuat dan disimpan di wilayah geografis tertentu yang telah disetujui. |
| Produk yang berlaku |
|
| Jalur | constraints/gcp.resourceLocations |
| Operator | Adalah |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Jaringan
Bagian ini mencakup praktik terbaik dan panduan untuk Virtual Private Cloud (VPC) dan Cloud DNS saat menjalankan workload di Cloud de Confiance by S3NS.
Memblokir pembuatan jaringan default
| ID kontrol Google | VPC-CO-6.1 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Batasan boolean Jaringan default adalah jaringan Virtual Private Cloud (VPC) mode otomatis dengan aturan firewall IPv4 yang sudah terisi otomatis untuk mengizinkan jalur komunikasi internal. Secara umum, penyiapan ini bukan postur keamanan yang direkomendasikan untuk lingkungan produksi. |
| Produk yang berlaku |
|
| Jalur | constraints/compute.skipDefaultNetworkCreation |
| Nilai |
|
| Jenis | Boolean |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengaktifkan DNS Security Extensions
| ID kontrol Google | DNS-CO-6.1 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Domain Name System Security Extensions (DNSSEC) adalah fitur Domain Name System (DNS) yang mengautentikasi respons terhadap pencarian nama domain. Fitur ini tidak memberikan perlindungan privasi untuk pencarian tersebut, tetapi mencegah penyerang memanipulasi atau merusak respons terhadap permintaan DNS. Dalam Cloud DNS, aktifkan DNSSEC di tempat berikut:
|
| Produk yang berlaku |
Cloud DNS |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengaktifkan Akses Google Pribadi
| ID kontrol Google | GCVE-CO-1.5 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Aktifkan Akses Google Pribadi di semua subnet. Dengan mengaktifkan Akses Google Pribadi, layanan dapat mengakses Cloud de Confiance by S3NS layanan yang tidak memiliki alamat IP eksternal. Secara default, Akses Google Pribadi tidak diaktifkan di resource baru dan memerlukan langkah tambahan untuk mengaktifkannya secara eksplisit. |
| Produk yang berlaku |
Virtual Private Cloud (VPC) |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengaktifkan akses layanan pribadi untuk produsen layanan
| ID kontrol Google | GCVE-CO-1.6 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Aktifkan akses layanan pribadi untuk membuat jaringan pribadi antara Cloud de Confiance by S3NS layanan seperti jaringan lama Google Cloud VMware Engine dan produsen layanan seperti Cloud SQL. Akses layanan pribadi membantu menghindari pemaparan koneksi jaringan beban kerja ke internet secara tidak perlu. |
| Produk yang berlaku |
Virtual Private Cloud (VPC) |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Nonaktifkan IPv6 kecuali jika diperlukan
| Penerapan | Wajib |
|---|---|
| Deskripsi | Nonaktifkan pembuatan subnet eksternal IPv6 kecuali jika diperlukan secara khusus. Untuk mengurangi permukaan serangan, pertimbangkan untuk menonaktifkan IPv6 pada sistem dan jaringan yang tidak dikelola atau diperlukan secara aktif. Banyak organisasi memiliki kontrol dan pemantauan keamanan yang matang untuk IPv4, tetapi alat dan kebijakan mereka mungkin tidak sepenuhnya mencakup IPv6, yang dapat menciptakan titik buta yang signifikan terhadap ancaman. Menjalankan jaringan dual-stack juga menimbulkan kompleksitas operasional, yang memerlukan konfigurasi dan keahlian khusus untuk mengelola dan memecahkan masalah secara efektif. Oleh karena itu, jika Anda tidak memiliki pendorong bisnis yang jelas untuk IPv6, menonaktifkannya dapat menyederhanakan lingkungan Anda dan memastikan semua traffic difilter secara konsisten melalui postur keamanan IPv4 yang telah ditetapkan. |
| Produk yang berlaku |
Compute Engine |
| Jalur | constraints/compute.disableVpcExternalIpv6 |
| Operator | Adalah |
| Nilai |
|
| Jenis | Boolean |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Membatasi traffic keluar
| Penerapan | Wajib |
|---|---|
| Deskripsi | Batasi akses ke sumber eksternal karena secara default, semua akses keluar diizinkan. Tetapkan aturan firewall tertentu untuk pola traffic yang dimaksudkan yang perlu keluar. Secara default, sistem sering kali diizinkan untuk membuat koneksi keluar ke internet, yang dapat dianggap sebagai risiko keamanan. Kebijakan tolak secara default memblokir traffic keluar dan mengharuskan aturan khusus dibuat hanya untuk tujuan yang diketahui dan diperlukan. |
| Produk yang berlaku |
Cloud Next Generation Firewall |
| Jalur | cloudasset.assets/assetType |
| Operator | == |
| Nilai |
|
| Jenis | String |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Membatasi akses masuk ke port SSH dan RDP
| Penerapan | Wajib |
|---|---|
| Deskripsi | Jika memungkinkan, batasi akses masuk hanya ke resource dan rentang resource tertentu. Jika Identity-Aware Proxy (IAP) dikonfigurasi, tetapkan aturan firewall SSH dan Remote Desktop Protocol (RDP) inbound ke rentang IP IAP sebagai sumber. Aturan firewall SSH dan RDP yang permisif memungkinkan terjadinya serangan brute force. Sebagai gantinya, gunakan proxy yang mendukung identitas Cloud de Confiance by S3NS (seperti IAP) untuk SSH dan RDP. |
| Produk yang berlaku |
IAP |
| Jalur | cloudasset.assets/assetType |
| Operator | == |
| Nilai |
|
| Jenis | String |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengaktifkan Kontrol Layanan VPC
| Penerapan | Wajib |
|---|---|
| Deskripsi | Aktifkan Kontrol Layanan VPC sebagai lapisan perlindungan tambahan untuk mencegah potensi kehilangan data. Kontrol Layanan VPC dapat membantu mencegah pemindahan data yang tidak sah dengan membuat perimeter isolasi di sekitar resource cloud, data sensitif, dan jaringan Anda. Perimeter layanan membatasi kegunaan kredensial yang disusupi karena perimeter memblokir permintaan ke layanan yang dibatasi yang berasal dari endpoint yang dikontrol penyerang yang berada di luar lingkungan Anda. |
| Produk yang berlaku |
Kontrol Layanan VPC |
| Jalur | accesscontextmanager.accessPolicies.servicePerimeters/perimeterType |
| Operator | == |
| Nilai |
|
| Jenis | String |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menggunakan kebijakan Cloud Armor
| Penerapan | Wajib |
|---|---|
| Deskripsi | Untuk aplikasi yang diekspos di belakang Cloud Load Balancing, gunakan kebijakan default Google Cloud Armor atau konfigurasikan kebijakan Anda sendiri untuk menambahkan perlindungan jaringan Lapisan 3 hingga Lapisan 7 untuk aplikasi atau layanan yang dapat diakses dari luar. Kebijakan keamanan Cloud Armor membantu melindungi aplikasi Anda dengan menyediakan pemfilteran Lapisan 7. Kebijakan ini juga meninjau permintaan masuk untuk serangan web umum atau atribut Lapisan 7 lainnya, sehingga dapat memblokir traffic sebelum mencapai layanan backend ber-load balancer atau bucket backend Anda. Setiap kebijakan keamanan terdiri dari serangkaian aturan yang mencakup atribut dari Lapisan 3 hingga Lapisan 7. |
| Produk yang berlaku |
Cloud Armor |
| Jalur | compute.backendServices/securityPolicy |
| Operator | Disetel |
| Jenis | String |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Aktifkan pembatasan cakupan layanan dalam kebijakan akses Access Context Manager
| ID kontrol Google | COM-CO-8.1 |
|---|---|
| Penerapan | Direkomendasikan untuk AI generatif pada kasus penggunaan |
| Deskripsi | Untuk setiap perimeter layanan, konfirmasi di konsol Cloud de Confiance bahwa jenis perimeter ditetapkan ke reguler. |
| Produk yang berlaku |
|
| Jalur | accesscontextmanager.accessPolicies.servicePerimeters/perimeterType |
| Operator | == |
| Nilai |
|
| Jenis | String |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Membatasi API dalam perimeter layanan Kontrol Layanan VPC
| ID kontrol Google | COM-CO-8.2 |
|---|---|
| Penerapan | Direkomendasikan untuk AI generatif pada kasus penggunaan |
| Deskripsi | Untuk setiap perimeter layanan, gunakan Access Context Manager untuk mengonfirmasi bahwa perimeter melindungi API. |
| Produk yang berlaku |
|
| Jalur | accesscontextmanager.accessPolicies.servicePerimeters/status.restrictedServices |
| Operator | Anyof |
| Nilai |
|
| Jenis | String |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menggunakan DNS zonal
| ID kontrol Google | DNS-CO-4.1 |
|---|---|
| Penerapan | Opsional |
| Deskripsi | Batasan boolean |
| Produk yang berlaku |
Kebijakan organisasi |
| Jalur | constraints/compute.setNewProjectDefaultToZonalDNSOnly |
| Operator | = |
| Nilai |
|
| Jenis | Boolean |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Logging, pemantauan, pemberitahuan
Bagian ini mencakup praktik terbaik dan panduan untuk layanan logging dan audit di Cloud de Confiance by S3NS dan mengonfigurasi pemberitahuan untuk layanan seperti Penagihan Cloud.
Membagikan log audit dari Cloud Identity
| ID kontrol Google | CI-CO-6.5 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Jika menggunakan Cloud Identity, bagikan log audit dari Cloud Identity ke Cloud de Confiance by S3NS. Log audit Aktivitas Admin dari Google Workspace atau Cloud Identity biasanya dikelola dan dilihat di konsol Google Admin, secara terpisah dari log di lingkungan Cloud de Confiance Anda. Log ini berisi informasi yang relevan untuk lingkungan Cloud de Confiance Anda, seperti peristiwa login pengguna. Sebaiknya bagikan log audit Cloud Identity ke lingkungan Cloud de Confiance Anda untuk mengelola log secara terpusat dari semua sumber. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menggunakan log audit
| ID kontrol Google | COM-CO-7.3 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | LayananCloud de Confiance menulis entri log audit untuk menjawab siapa yang melakukan apa, di mana, dan kapan dengan resource Cloud de Confiance . Aktifkan logging audit di tingkat organisasi. Anda dapat mengonfigurasi logging menggunakan pipeline yang Anda gunakan untuk menyiapkan organisasi Cloud de Confiance . |
| Produk yang berlaku |
Cloud Audit Logs |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengaktifkan Log Aliran VPC
| ID kontrol Google | COM-CO-7.4 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | VPC Flow Logs mencatat sampel alur jaringan yang dikirim dari dan diterima oleh instance VM, termasuk yang digunakan sebagai node Google Kubernetes Engine (GKE). Sampel biasanya berjumlah 50% atau kurang dari alur jaringan VPC. Dengan mengaktifkan Log Alur VPC, Anda mengaktifkan logging untuk semua VM di subnet. Namun, Anda dapat mengurangi jumlah informasi yang ditulis ke logging. Aktifkan VPC Flow Logs untuk setiap subnet VPC. Anda dapat mengonfigurasi logging menggunakan pipeline yang Anda gunakan untuk membuat project. |
| Produk yang berlaku |
Virtual Private Cloud |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengaktifkan Firewall Rules Logging
| ID kontrol Google | COM-CO-7.5 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Secara default, aturan firewall tidak otomatis menulis log.Firewall Rules Logging memungkinkan Anda mengaudit, memverifikasi, dan menganalisis efek aturan firewall Anda. Misalnya, Anda dapat menentukan apakah aturan firewall yang dirancang untuk menolak traffic berfungsi sebagaimana mestinya. Logging juga berguna jika Anda ingin menentukan jumlah koneksi yang terpengaruh oleh aturan firewall tertentu. Aktifkan logging untuk setiap aturan firewall. Anda dapat mengonfigurasi logging menggunakan pipeline yang Anda gunakan untuk membuat firewall. |
| Produk yang berlaku |
Virtual Private Cloud |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengaktifkan audit aktivitas administrator
| ID kontrol Google | COM-CO-7.1 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Secara default, Cloud de Confiance mengaktifkan dan tidak mengizinkan siapa pun menonaktifkan audit aktivitas administrator utama untuk akun istimewa. Log audit Aktivitas Admin berisi entri log untuk panggilan API atau tindakan lain yang mengubah konfigurasi atau metadata resource. Misalnya, log ini mencatat saat pengguna membuat instance VM atau mengubah izin IAM. Log audit Aktivitas Admin berisi entri log untuk pembuatan, modifikasi, dan penghapusan batasan kebijakan organisasi dari tingkat organisasi, folder, dan project. Log audit Aktivitas Admin selalu ditulis; Anda tidak dapat mengonfigurasi, mengecualikan, atau menonaktifkannya. Meskipun Anda menonaktifkan Cloud Logging API, log audit Aktivitas Admin tetap dibuat. Sebaiknya organisasi Anda menyiapkan kebijakan dan prosedur untuk memantau pemberitahuan ini, serta membuat tindakan atau pemberitahuan sesuai dengan kebijakan akses perusahaan Anda untuk memantau aktivitas administrator. |
| Produk yang berlaku |
Cloud Audit Logs |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Berlangganan buletin keamanan
| ID kontrol Google | GKE-CO-1.8 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Berlangganan notifikasi buletin keamanan untuk Cloud de Confiance by S3NS layanan guna menerima pemberitahuan tentang kerentanan dan langkah-langkah mitigasi. Jika tersedia buletin keamanan yang relevan dengan layanan Anda (seperti GKE), layanan tersebut dapat memublikasikan notifikasi tentang peristiwa tersebut sebagai pesan ke topik Pub/Sub yang Anda konfigurasikan. Cloud de Confiance by S3NS Anda dapat menerima notifikasi ini di langganan Pub/Sub, berintegrasi dengan layanan pihak ketiga, dan memfilter jenis notifikasi yang ingin diterima. |
| Produk yang berlaku |
Semua |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengonfigurasi grup Kontak Penting
| Penerapan | Wajib |
|---|---|
| Deskripsi | Konfigurasi Kontak Penting untuk memastikan bahwa alias grup atau milis yang dipantau menerima notifikasi penting. Google mengirimkan pemberitahuan keamanan penting (seperti potensi pembobolan akun) ke alamat email yang tercantum sebagai Kontak Penting. Jika email individu digunakan untuk tujuan ini, pemberitahuan akan terlewat jika orang tersebut tidak tersedia atau telah keluar dari perusahaan.Menggunakan alamat email grup yang dipantau akan membantu memastikan bahwa pemberitahuan yang mendesak ini dikirimkan ke tim aktif yang dapat merespons dengan cepat. |
| Produk yang berlaku |
Resource Manager |
| Jalur | essentialcontacts.googleapis.com/Contact |
| Operator | Disetel |
| Jenis | String |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Memantau anomali penagihan
| Penerapan | Wajib |
|---|---|
| Deskripsi | Gunakan fitur anomali penagihan di Penagihan Cloud untuk melacak lonjakan atau penyimpangan dalam pembelanjaan yang diharapkan. Lonjakan tagihan cloud yang tiba-tiba dan tidak terduga adalah indikator utama kompromi keamanan. Lonjakan penagihan yang tidak terduga terkadang disebabkan oleh penyerang yang telah mendapatkan akses dan menggunakan resource untuk aktivitas yang tidak sah. Mengaktifkan deteksi anomali penagihan akan menyediakan sistem peringatan dini yang penting sehingga Anda dapat menandai aktivitas mencurigakan ini secara otomatis. |
| Produk yang berlaku |
Penagihan Cloud |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengekspor log ke sink log untuk penyimpanan jangka panjang
| Penerapan | Wajib |
|---|---|
| Deskripsi | Buat sink log untuk mengekspor log bagi solusi pemantauan keamanan Anda dan tetapkan periode retensi data untuk memenuhi persyaratan Anda. Periode retensi log default sering kali tidak cukup lama untuk memenuhi persyaratan 1-7 tahun yang diwajibkan oleh peraturan kepatuhan seperti PCI atau HIPAA. Membuat sink log untuk mengekspor log ke lokasi penyimpanan jangka panjang sangat penting untuk memenuhi kewajiban hukum dan peraturan tertentu. Sink log juga memungkinkan Anda mengirim log ke sistem pemantauan keamanan terpusat untuk deteksi ancaman tingkat lanjut. |
| Produk yang berlaku |
Cloud Logging |
| Jalur | logging.googleapis.com/LogSink/disabled |
| Operator | Adalah |
| Nilai |
|
| Jenis | Boolean |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengaktifkan log audit Akses Data
| ID kontrol Google | COM-CO-7.2 |
|---|---|
| Penerapan | Direkomendasikan untuk kasus penggunaan tertentu |
| Deskripsi | Untuk melacak siapa yang mengakses data di lingkungan Cloud de Confiance by S3NS Anda, aktifkan log audit Akses Data. Log ini mencatat panggilan API yang membaca, membuat, atau mengubah data pengguna, serta panggilan API yang membaca konfigurasi resource. Sebaiknya aktifkan log audit Akses Data untuk model AI generatif dan data sensitif guna memastikan Anda dapat mengaudit siapa yang telah membaca informasi tersebut. Untuk menggunakan log audit Akses Data, Anda harus menyiapkan logika deteksi kustom sendiri untuk aktivitas tertentu, seperti login admin super. Volume log audit Akses Data bisa besar. Mengaktifkan log Akses Data dapat menyebabkan project Cloud de Confiance Anda dikenai biaya untuk penggunaan log tambahan. |
| Produk yang berlaku |
Cloud Audit Logs |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengonfigurasi pemberitahuan penagihan
| ID kontrol Google | CB-CO-6.1 |
|---|---|
| Penerapan | Disarankan |
| Deskripsi | Hindari tagihan yang tidak terduga dengan membuat anggaran Penagihan Cloud untuk memantau semua biaya Cloud de Confiance by S3NS di satu tempat. Setelah menetapkan jumlah anggaran, tetapkan aturan nilai minimum pemberitahuan anggaran berdasarkan per project untuk memicu notifikasi email. Notifikasi ini membantu Anda melacak pengeluaran terhadap anggaran. Anda juga dapat menggunakan anggaran Penagihan Cloud untuk mengotomatiskan respons pengendalian biaya. |
| Produk yang berlaku |
Penagihan Cloud |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengaktifkan log Transparansi Akses
| ID kontrol Google | COM-CO-7.7 |
|---|---|
| Penerapan | Opsional |
| Deskripsi | Log standar menunjukkan tindakan yang dilakukan pengguna organisasi Anda sendiri, tetapi log Transparansi Akses menunjukkan tindakan yang dilakukan staf dukungan Google saat mereka mengakses akun. Akses ini biasanya hanya terjadi sebagai respons terhadap permintaan dukungan. Log Transparansi Akses memberikan jejak audit yang lengkap dan dapat diverifikasi untuk semua akses, yang penting untuk memenuhi persyaratan kepatuhan dan tata kelola data yang ketat. Anda dapat mengaktifkan Transparansi Akses di tingkat organisasi. |
| Produk yang berlaku |
Transparansi Akses |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengekspor data penagihan untuk analisis mendetail
| ID kontrol Google | CB-CO-6.2 |
|---|---|
| Penerapan | Opsional |
| Deskripsi | Untuk analisis penagihan lebih lanjut, Anda dapat mengekspor Cloud de Confiance by S3NS data penagihan ke BigQuery atau file JSON. Misalnya, Anda dapat mengekspor data mendetail secara otomatis, seperti penggunaan, perkiraan biaya, dan harga, sepanjang hari ke set data BigQuery yang Anda tentukan. Kemudian, Anda dapat mengakses data Penagihan Cloud dari BigQuery untuk memperoleh analisis yang mendetail, atau menggunakan alat seperti Data Studio untuk memvisualisasikan data Anda. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Pengelolaan kunci dan secret
Bagian ini mencakup praktik terbaik dan panduan untuk Cloud Key Management Service dan Secret Manager saat menjalankan workload diCloud de Confiance by S3NS.
Mengenkripsi data saat istirahat di Cloud de Confiance
| ID kontrol Google | COM-CO-2.1 |
|---|---|
| Penerapan | Wajib (default) |
| Deskripsi | Semua data di Cloud de Confiance dienkripsi dalam penyimpanan secara default menggunakan algoritma yang disetujui NIST. |
| Produk yang berlaku |
Cloud de Confiance default |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Gunakan algoritma yang disetujui NIST untuk enkripsi dan dekripsi
| ID kontrol Google | COM-CO-2.4 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Pastikan Cloud Key Management Service (Cloud KMS) hanya menggunakan algoritma yang disetujui NIST untuk menyimpan kunci sensitif di lingkungan. Kontrol ini memastikan penggunaan kunci yang aman hanya dengan algoritma dan keamanan yang disetujui NIST. Kolom Menghapus algoritma yang tidak mematuhi kebijakan organisasi Anda. |
| Produk yang berlaku |
Cloud KMS |
| Jalur | cloudkms.projects.locations.keyRings.cryptoKeys/versionTemplate.algorithm |
| Operator | di |
| Nilai |
|
| Jenis | String |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menetapkan tujuan untuk kunci Cloud KMS
| ID kontrol Google | COM-CO-2.5 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Tetapkan tujuan kunci Cloud KMS ke |
| Produk yang berlaku |
Cloud KMS |
| Jalur | cloudkms.projects.locations.keyRings.cryptoKeys/purpose |
| Operator | == |
| Nilai |
|
| Jenis | String |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Pastikan setelan CMEK sesuai untuk data warehouse BigQuery yang aman
| ID kontrol Google | COM-CO-2.6 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Level perlindungan menunjukkan cara operasi kriptografi dilakukan. Setelah membuat kunci enkripsi yang dikelola pelanggan (CMEK), Anda tidak dapat mengubah tingkat perlindungan. Tingkat perlindungan yang didukung adalah sebagai berikut:
|
| Produk yang berlaku |
|
| Jalur | cloudkms.projects.locations.keyRings.cryptoKeys/primary.protectionLevel |
| Operator | di |
| Nilai |
|
| Jenis | String |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Merotasi kunci enkripsi setiap 90 hari
| ID kontrol Google | COM-CO-2.7 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Pastikan periode rotasi kunci Cloud KMS Anda ditetapkan ke 90 hari. Praktik terbaik umum adalah merotasi kunci keamanan Anda secara berkala. Kontrol ini menerapkan rotasi kunci untuk kunci yang dibuat dengan layanan HSM. Saat membuat periode rotasi ini, buat juga kebijakan dan prosedur yang sesuai untuk menangani pembuatan, penghapusan, dan modifikasi materi utama secara aman sehingga Anda dapat membantu melindungi informasi Anda dan memastikan ketersediaan. Pastikan periode ini mematuhi kebijakan perusahaan Anda untuk rotasi kunci. |
| Produk yang berlaku |
Cloud KMS |
| Jalur | cloudkms.projects.locations.keyRings.cryptoKeys/rotationPeriod |
| Operator | <= |
| Nilai |
|
| Jenis | int32 |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menyiapkan rotasi secret otomatis
| ID kontrol Google | SM-CO-6.2 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Rotasikan secret secara otomatis dan sediakan prosedur rotasi darurat jika terjadi penyusupan.
|
| Produk yang berlaku |
Secret Manager |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Membuat strategi enkripsi terkelola
| Penerapan | Wajib |
|---|---|
| Deskripsi | Buat strategi pengelolaan enkripsi menggunakan Cloud Key Management Service (Cloud KMS) dengan Autokey, Cloud External Key Manager (Cloud EKM), atau keduanya. Strategi ini memungkinkan organisasi Anda menggunakan dan mengelola kunci enkripsinya sendiri untuk memenuhi persyaratan spesifik Anda. Penggunaan kunci enkripsi Anda sendiri memberikan kontrol terperinci yang dapat diaudit atas akses data, termasuk kemampuan untuk langsung memblokir akses ke data dengan menonaktifkan kunci. |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menggunakan CMEK untuk pesan Pub/Sub
| ID kontrol Google | PS-CO-6.1 |
|---|---|
| Penerapan | Disarankan |
| Deskripsi | Saat Anda mengaktifkan kunci enkripsi yang dikelola pelanggan (CMEK) untuk Pub/Sub, Anda akan mendapatkan kontrol yang lebih besar atas kunci enkripsi yang digunakan Pub/Sub untuk melindungi pesan Anda. Di lapisan aplikasi, Pub/Sub mengenkripsi setiap pesan masuk saat Pub/Sub menerimanya. Sebelum memublikasikan pesan ke langganan, Pub/Sub mengenkripsi pesan menggunakan kunci enkripsi data (DEK) terbaru yang dibuat untuk topik. Pub/Sub mendekripsi pesan sesaat sebelum dikirim ke pelanggan.
Pub/Sub menggunakan Cloud de Confiance by S3NS akun layanan untuk mengakses Cloud Key Management Service. Akun layanan dikelola secara internal oleh Pub/Sub untuk setiap project, dan tidak terlihat dalam daftar akun layanan Anda.
|
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Membatasi lokasi kunci enkripsi yang dikelola pelanggan
| ID kontrol Google | COM-CO-2.2 |
|---|---|
| Penerapan | Disarankan |
| Deskripsi | Gunakan batasan kebijakan organisasi Batasi project mana yang dapat menyediakan CryptoKey KMS untuk CMEK ( Untuk mengubah batasan ini, administrator memerlukan peran IAM Organization Policy Administrator ( Jika Anda ingin menambahkan lapisan perlindungan kedua, seperti bawa kunci Anda sendiri, ubah batasan ini untuk merepresentasikan nama kunci CMEK yang diaktifkan. Detail produk:
|
| Produk yang berlaku |
|
| Jalur | constraints/gcp.restrictCmekCryptoKeyProjects |
| Operator | tidak ada |
| Nilai |
|
| Jenis | String |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menggunakan CMEK untuk layanan Cloud de Confiance
| ID kontrol Google | COM-CO-2.3 |
|---|---|
| Penerapan | Disarankan |
| Deskripsi | Jika memerlukan kontrol lebih besar atas operasi kunci daripada yang diizinkan oleh Google Cloud-powered encryption keys , Anda dapat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Kunci ini dibuat dan dikelola menggunakan Cloud KMS. Simpan kunci sebagai kunci software, dalam cluster HSM, atau dalam sistem pengelolaan kunci eksternal. Tingkat enkripsi dan dekripsi Cloud KMS bergantung pada kuota. Spesifikasi Cloud Storage Di Cloud Storage, gunakan CMEK pada setiap objek, atau konfigurasi bucket Cloud Storage Anda untuk menggunakan CMEK secara default pada semua objek baru yang ditambahkan ke bucket. Saat menggunakan CMEK, objek dienkripsi dengan kunci tersebut oleh Cloud Storage pada saat disimpan dalam bucket, dan objek secara otomatis didekripsi oleh Cloud Storage saat objek disajikan kepada pemohon. Batasan berikut berlaku saat menggunakan CMEK dengan Cloud Storage:
|
| Produk yang berlaku |
|
| Jalur | constraints/gcp.restrictNonCmekServices |
| Operator | == |
| Nilai |
|
| Jenis | String |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mereplikasi secret secara otomatis
| ID kontrol Google | SM-CO-6.1 |
|---|---|
| Penerapan | Disarankan |
| Deskripsi | Pilih kebijakan replikasi otomatis untuk mereplikasi rahasia Anda, kecuali jika workload Anda memiliki persyaratan lokasi tertentu. Kebijakan otomatis memenuhi kebutuhan ketersediaan dan performa sebagian besar workload. Jika workload Anda memiliki persyaratan lokasi tertentu, Anda dapat menggunakan API untuk memilih lokasi kebijakan replikasi saat membuat rahasia.
|
| Produk yang berlaku |
Secret Manager |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Postur keamanan dan analisis
Dokumen ini mencakup praktik terbaik dan panduan untuk Security Command Center saat menjalankan workload di Cloud de Confiance by S3NS.
Mengaktifkan Security Command Center di tingkat organisasi
| ID kontrol Google | SCC-CO-6.1 |
|---|---|
| Penerapan | Wajib |
| Deskripsi | Aktifkan Security Command Center di tingkat organisasi untuk menghindari konfigurasi tambahan. Jika tidak ingin menggunakan Security Command Center, Anda harus mengaktifkan solusi pengelolaan postur lainnya.
|
| Produk yang berlaku |
Security Command Center |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Mengonfigurasi pemberitahuan dari Security Command Center
| ID kontrol Google | SCC-CO-7.1 |
|---|---|
| Penerapan | Disarankan |
| Deskripsi | Pemberitahuan dari Security Command Center memberikan visibilitas ke dalam organisasi Anda dan memberi tahu Anda tentang masalah pada layanan Cloud de Confiance by S3NS Anda sehingga Anda dapat mengambil tindakan yang sesuai. Anda dapat menyiapkan pemberitahuan di Cloud Logging untuk mendapatkan notifikasi tentang error yang terkait dengan agen layanan Security Command Center (
service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com). |
| Produk yang berlaku |
|
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Langkah berikutnya
Tinjau kontrol infrastruktur.
Lihat Cloud de Confiance by S3NS praktik terbaik dan panduan keamanan lainnya.