安全的企业基础控制

本文档包含在运行使用Cloud de Confiance by S3NS的工作负载时构建安全的企业基础的最佳实践和准则。安全的企业基础架构包括以下方面的控制措施:

身份验证和授权

本部分包含在 Cloud de Confiance by S3NS上运行工作负载时,有关 Identity and Access Management (IAM) 和 Cloud Identity 的最佳实践和指南。

停用默认服务账号的自动 IAM 授权

Google 控制 ID IAM-CO-4.1
实现 必需
说明

当 Cloud de Confiance by S3NS 服务自动创建具有过于宽松角色的默认服务账号时,请使用 automaticIamGrantsForDefaultServiceAccounts 布尔值限制条件来停用自动角色授予功能。

默认情况下,某些系统会向自动化账号授予过于宽泛的权限,这可能会带来安全风险。例如,如果您不强制执行此限制条件,并且创建了默认服务账号,则系统会自动向该服务账号授予项目的 Editor 角色 (roles/editor)。如果攻击者入侵了系统的某个部分,他们可能会获得对整个项目的控制权。此限制条件会停用这些自动的高级权限,从而强制采用更安全、更审慎的方法,仅授予必要的最低权限。

适用的产品
  • IAM
  • 组织政策服务
路径 constraints/iam.automaticIamGrantsForDefaultServiceAccounts
运算符

False

类型 布尔值
相关 NIST-800-53 控制
  • AC-3
  • AC-17
  • AC-20
相关 CRI 配置文件控制措施
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相关信息

禁止创建外部服务账号密钥

Google 控制 ID IAM-CO-4.2
实现 必需
说明

使用 iam.disableServiceAccountKeyCreation 布尔值限制条件可禁止创建外部服务账号密钥。此限制条件可让您控制服务账号的非托管式长期凭据的使用。设置此限制条件后,您将无法为受该限制条件影响的项目中的服务账号创建用户管理的凭据。

适用的产品
  • 组织政策服务
  • IAM
路径 constraints/iam.disableServiceAccountKeyCreation
运算符

True

类型 布尔值
相关 NIST-800-53 控制
  • AC-3
  • AC-17
  • AC-20
相关 CRI 配置文件控制措施
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相关信息

禁止上传服务账号密钥

Google 控制 ID IAM-CO-4.3
实现 必需
说明

使用 iam.disableServiceAccountKeyUpload 布尔值限制条件来停用将外部公钥上传到服务账号。设置此限制条件后,用户无法将公钥上传到受限制条件影响的项目中的服务账号。

适用的产品
  • 组织政策服务
  • IAM
路径 constraints/iam.disableServiceAccountKeyUpload
运算符

True

类型 布尔值
相关 NIST-800-53 控制
  • AC-3
  • AC-17
  • AC-20
相关 CRI 配置文件控制措施
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相关信息

为组织政策管理员配置职责分离

Google 控制 ID OPS-CO-6.1
实现 必需
说明
为负责 Cloud de Confiance by S3NS 组织安全状况的群组分配 Organization Policy Administrator (roles/orgpolicy.policyAdmin) 角色。为避免创建违反安全政策的资源,请勿将此角色分配给项目所有者。
适用的产品
  • IAM
  • 组织政策服务
相关 NIST-800-53 控制措施
  • AC-2
  • AC-3
  • AC-5
相关 CRI 配置文件控制措施
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
相关信息

为超级用户账号启用两步验证

Google 控制 ID CI-CO-6.1
实现 必需
说明

Google 建议超级用户账号使用 Titan 安全密钥进行两步验证 (2SV)。不过,如果无法使用安全密钥,我们建议您改用其他安全密钥。

适用的产品
  • Cloud Identity
  • Titan 安全密钥
相关 NIST-800-53 控制措施
  • IA-2
  • IA-4
  • IA-5
  • IA-7
相关 CRI 配置文件控制措施
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
相关信息

对超级用户组织部门强制执行两步验证

Google 控制 ID CI-CO-6.2
实现 必需
说明

为特定组织部门 (OU) 或整个组织强制执行两步验证 (2SV)。我们建议您为超级用户创建一个组织部门,并对该组织部门强制执行两步验证。

适用的产品

Cloud Identity

相关 NIST-800-53 控制措施
  • IA-2
  • IA-4
  • IA-5
  • IA-7
相关 CRI 配置文件控制措施
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
相关信息

为主要超级用户创建专用邮箱

Google 控制 ID CI-CO-6.4
实现 必需
说明
创建一个不属于某个特定用户的邮箱,作为主要的 Cloud Identity 超级用户账号。
适用的产品

Cloud Identity

相关 NIST-800-53 控制措施
  • IA-2
  • IA-4
  • IA-5
相关 CRI 配置文件控制措施
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
相关信息

创建冗余管理员账号

Google 控制 ID CI-CO-6.7
实现 必需
说明

没有单个超级用户或 Organization Administrator。创建一个或多个(最多 20 个)后备管理员账号。如果只有一个超级用户或 Organization Administrator,可能会出现账号锁定情况。这种情况的风险也更高,因为一个人可以做出改变平台的更改,而且可能不受监督。

适用的产品
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
相关 NIST-800-53 控制措施
  • IA-2
  • IA-4
  • IA-5
相关 CRI 配置文件控制措施
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
相关信息

使用 Privileged Access Manager

Google 控制 ID GCVE-CO-3.2
实现 必需
说明

使用 Privileged Access Manager 管理特权访问权限。对于所有其他访问权限,请使用访问权限群组,让群组成员资格自动过期,并为群组成员资格实现审批工作流。

使用最小权限模型可让您仅在需要时提供对所需资源的访问权限。使用预先创建的角色可简化使用流程,并减少自定义角色造成的混乱,因此您无需担心角色生命周期管理。

适用的产品

Identity and Access Management (IAM)

相关 NIST-800-53 控制措施
  • AC-2
  • AC-3
  • AC-6
相关 CRI 配置文件控制
  • PR.AC-4.1
相关信息

定义身份可靠来源

实现 必需
说明

确定用于预配受管理用户身份的可靠来源。模式包括在 Cloud Identity 中创建用户身份、从现有身份提供商同步身份,或使用员工身份联合。

适用的产品
  • Cloud Identity
  • 员工身份联合
相关 NIST-800-53 控制措施
  • AC-2
相关 CRI 配置文件控制
  • PR.AC-1.1
相关信息

强制执行安全系数高的密码政策

实现 必需
说明

强制所有用户账号使用安全系数高且独一无二的密码。考虑使用密码管理工具。凭据安全系数低或无凭据是恶意用户可以轻松利用的常见模式。

适用的产品
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
相关 NIST-800-53 控制措施
  • IA-5
相关 CRI 配置文件控制措施
  • PR.AC-1.1
相关信息

使用基于工作职能的角色

实现 必需
说明

使用基于工作职能的 Identity and Access Management (IAM) 角色向用户分配权限。工作职能是预定义角色,可让管理员提供仅限于特定工作职能的一组权限,从而提高工作效率并减少请求权限的来回沟通。为了更好地满足组织的要求,您可以基于预定义角色创建自定义角色。

适用的产品

IAM

相关 NIST-800-53 控制措施
  • AC-6
相关 CRI 配置文件控制
  • PR.AC-4.1
相关信息

限制群组中的外部成员

实现 必需
说明

设置组织级政策,以禁止向 Google 群组添加外部成员。

默认情况下,外部用户账号可以添加到 Cloud Identity 中的群组。我们建议您配置共享设置,以免群组所有者添加外部成员。

请注意,此限制不适用于超级用户账号或拥有 Google 群组管理员权限的其他委派管理员。由于身份提供方的联合服务运行时需要使用管理员权限,因此群组共享设置不适用于此群组同步。我们建议您查看身份提供方和同步机制中的控制,确保非网域成员不会添加到群组,或者确保您应用群组限制。

适用的产品
  • Cloud Identity
  • Google Workspace
相关 NIST-800-53 控制措施
  • AC-2
  • AC-3
  • AC-20
相关 CRI 配置文件控制措施
  • PR.AC-3.1
  • PR.AC-5.1
相关信息

设置每日会话时长

实现 必需
说明

将 Cloud de Confiance by S3NS 服务的会话时长设置为至少每天过期一次。长时间保持账号登录状态会带来安全风险。强制执行最长会话时长会在设置的时间过后自动结束会话,从而强制用户进行新的安全登录。

这种做法可减少恶意用户使用窃取的密码的机会,并确保定期重新验证访问权限。

对于新客户,系统会自动强制执行 16 小时的默认会话时长。在 2023 年之前创建 Cloud de Confiance by S3NS 组织的客户可能默认设置为永不要求重新进行身份验证。检查此设置,确保您已设置会话时长介于 1 到 24 小时之间的重新身份验证政策。重新身份验证政策会使刷新令牌失效,并强制用户定期使用其密码或安全密钥重新验证 gcloud CLI 身份。

Cloud de Confiance by S3NS 服务的会话时长是一项与 Google 服务的会话时长不同的设置,后者控制在 Google Workspace 服务中登录的 Web 会话,但不控制对 Cloud de Confiance by S3NS的重新身份验证。如果您使用 Google Workspace 服务,请同时设置两者的会话时长。

适用的产品
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
相关 NIST-800-53 控制措施
  • AC-12
相关 CRI 配置文件控制
  • PR.AC-7.1
相关信息

修正非受管消费者账号

实现 必需
说明

不允许使用非受管的个人用户账号。整合所有非受管的个人用户账号,并考虑采取解决方案,以防止用户使用您的网域进一步创建非受管的个人用户账号。

非托管消费者账号不受入职、转岗和离职 (JML) 流程的约束,因此存在员工离职后仍可访问您资源的风险。在网域限定共享等控制措施方面,这些账号也会被视为外部账号。

适用的产品

Cloud Identity

相关 NIST-800-53 控制措施
  • AC-2
相关 CRI 配置文件控制
  • PR.AC-1.1
相关信息

强制执行专用管理员和多方审批

实现 必需
说明

确保超级用户账号与日常用户账号分开。超级用户账号必须是专用账号,仅在进行重大更改时使用。为了提高安全性,请为管理员操作启用多方审批。启用多方审批后,敏感操作需要两位管理员审批,这有助于防止攻击者入侵管理员账号并阻止其他管理员用户访问该账号。

适用的产品
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
相关 NIST-800-53 控制措施
  • AC-6
相关 CRI 配置文件控制
  • PR.AC-4.1
相关信息

为所有 Google 账号和 Cloud Identity 用户启用多重身份验证

Google 控制 ID CI-CO-6.1
实现 必需
说明

为所有 Google 账号和 Cloud Identity 用户(而不仅仅是超级用户)启用多重身份验证 (MFA),也称为两步身份验证 (2SV)。默认情况下,系统会为超级用户启用多重身份验证。MFA 可再添一道安全防线,因为仅使用密码通常不足以确保安全。

适用的产品
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
相关 NIST-800-53 控制措施
  • IA-2
相关 CRI 配置文件控制
  • PR.AC-1.1
相关信息

撤消默认创建者角色

实现 必需
说明

移除默认授予新组织中所有成员的网域级 Project Creator 和 Billing Account Creator 角色。

新组织会向网域中的所有受管理的用户身份授予 Project Creator 和 Billing Account Creator 角色。虽然这些角色有助于您快速入门,但此配置不适用于生产环境。如果结算账号数量过多,会导致管理开销增加,并且在多个结算账号之间拆分服务时会产生技术后果。允许随意创建项目可能会导致项目不符合您的治理惯例。

请改为移除这些角色,并建立项目创建流程,以便请求创建新项目并将其与结算相关联。

适用的产品

IAM

路径 resourcemanager.organizations/iamPolicy.bindings
运算符 not_contains
  • role:roles/resourcemanager.projectCreator AND member:domain:*
  • role:roles/billing.creator AND member:domain:*
类型 字符串
相关 NIST-800-53 控制措施
  • AC-6
相关 CRI 配置文件控制
  • PR.AC-4.1
相关信息

轮替服务账号密钥

实现 必需
说明

如果您必须使用服务账号密钥,请至少每 90 天轮替一次密钥。

轮换间隔限制了攻击者可以访问系统的时间。如果没有轮换间隔,攻击者将永远拥有访问权限。如果可能,请考虑使用工作负载身份联合,而不是服务账号密钥。

适用的产品

IAM

路径 constraints/iam.serviceAccountKeyExpiryHours
运算符 <=

2160

类型 字符串
相关 NIST-800-53 控制措施
  • SC-12
相关 CRI 配置文件控制
  • PR.DS-1.1
相关信息

使用工作负载身份联合

实现 必需
说明

使用工作负载身份联合,让在其他云上运行的 CI/CD 系统和工作负载向 Cloud de Confiance by S3NS进行身份验证。借助工作负载身份联合,在 Cloud de Confiance 外部运行的工作负载无需服务账号密钥即可进行身份验证。通过避免使用服务账号密钥和其他长期有效的凭据,工作负载身份联合可以帮助您降低凭据泄露的风险。

适用的产品

IAM

路径 iam.googleapis.com/WorkloadIdentityPool
运算符 已设置
类型 字符串
相关 NIST-800-53 控制措施
  • IA-2
相关 CRI 配置文件控制
  • PR.AC-1.1
相关信息

禁止超级用户账号自行恢复

Google 控制 ID CI-CO-6.3
实现 必需
说明

默认情况下,新客户的超级用户账号自行恢复功能处于关闭状态。不过,现有客户可能已开启此设置。关闭此设置有助于降低攻击者利用遭到入侵的手机、被盗用的电子邮件或社会工程学攻击获得对您的环境的超级用户特权的风险。

规划超级用户在无法访问其账号时联系组织内的其他超级用户所需的内部流程,并确保所有超级用户都熟悉支持团队协助的恢复流程。

如需关闭此功能,请前往 Google 管理控制台中的账号恢复设置。

适用的产品
  • Cloud Identity
  • Google Workspace
相关 NIST-800-53 控制措施
  • AC-2
  • AC-3
相关 CRI 配置文件控制
  • PR.AC-1.1
  • PR.AC-4.1
相关信息

为敏感使用情形设置空闲会话超时时间

实现 必需
说明

对于敏感用例,请将闲置会话超时时间设置为 15 分钟。攻击者可能会利用空闲会话窃取凭据。

适用的产品
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
相关 NIST-800-53 控制措施
  • AC-12
相关 CRI 配置文件控制
  • PR.AC-7.1
相关信息

强制要求管理员使用硬件安全密钥

实现 必需
说明

尽可能为超级用户或组织管理员提供硬件安全密钥作为第二重验证方式。超级用户账号是复杂攻击的首要目标。硬件安全密钥可防范钓鱼式攻击,因此能提供高水平的保护。硬件安全密钥是针对账户接管(攻击)的最强防御措施,适用于最重要的管理员,并且基于标准 MFA 政策。

适用的产品
  • Identity and Access Management (IAM)
  • Google Workspace
  • Cloud Identity
相关 NIST-800-53 控制措施
  • IA-2
相关 CRI 配置文件控制
  • PR.AC-1.1
相关信息

启用单点登录后验证

实现 必需
说明

如果您使用的是外部身份提供方,请设置单点登录后验证。

根据 Google 的登录风险分析启用额外的控制层。应用此设置后,如果 Google 认为用户登录可疑,则用户可能会在登录时看到其他基于风险的登录验证。

适用的产品
  • Cloud Identity
  • Google Workspace
相关 NIST-800-53 控制措施
  • IA-2
  • IA-5
  • IA-8
相关 CRI 配置文件控制
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-3.1
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
相关信息

启用主账号访问边界政策

实现 必需
说明

启用 Principal Access Boundary (PAB) 政策,以限制正文访问权限并帮助防范钓鱼式攻击和数据渗漏。为组织启用 PAB 政策,以避免外部网络钓鱼攻击。PAB 可减少身份遭盗用时攻击的范围,从而提高安全性,还有助于防止任何外部网络钓鱼攻击和其他数据渗漏攻击。

适用的产品

IAM

路径 iam.googleapis.com/PrincipalAccessBoundaryPolicy
运算符 已设置
类型 字符串
相关 NIST-800-53 控制
  • AC-3
相关 CRI 配置文件控制
  • PR.AC-3.1
相关信息

实现标记,以便高效分配 IAM 政策和组织政策

Google 控制 ID IAM-CO-6.1
实现 推荐
说明

标记提供了一种为资源创建注解的方法,在某些情况下,可以根据资源是否有特定标记,有条件地允许或拒绝政策。使用标记和条件性政策执行功能,在资源层次结构内实现精细化管控。

适用的产品

Resource Manager

相关 NIST-800-53 控制措施
  • AC-2
  • AC-3
  • AC-5
相关 CRI 配置文件控制措施
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
相关信息

审核对 IAM 的高风险更改

Google 控制 ID IAM-CO-7.1
实现 推荐
说明

使用 Cloud Audit Logs 监控高风险活动,例如向账号授予组织管理员和超级管理员等高风险角色。为此类活动设置提醒。

适用的产品

Cloud Audit Logs

相关 NIST-800-53 控制措施
  • AU-2
  • AU-3
  • AU-8
  • AU-9
相关 CRI 配置文件控制措施
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
相关信息

禁止 Cloud Identity 托管用户账号访问 Cloud Shell

Google 控制 ID CI-CO-6.8
实现 推荐
说明

为避免向 Cloud de Confiance by S3NS授予过多的访问权限,请为 Cloud Identity 托管用户账号阻止对 Cloud Shell 的访问。

适用的产品
  • Cloud Identity
  • Cloud Shell
相关 NIST-800-53 控制措施
  • SC-7
  • SC-8
相关 CRI 配置文件控制措施
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相关信息

为 Google 控制台配置情境感知访问权限

Google 控制 ID IAM-CO-8.2
实现 可选
说明

使用情境感知访问权限功能,您可以根据用户身份、位置、设备安全状态和 IP 地址等属性,针对应用创建精细的访问权限控制安全政策。我们建议您使用情境感知访问权限来限制对 Cloud de Confiance 控制台 (https://console.cloud.google.com/) 和 Google 管理控制台 (https://admin.cloud.google.com) 的访问权限。

适用的产品
  • Cloud Identity
  • 情境感知访问权限
相关 NIST-800-53 控制措施
  • AC-3
  • AC-12
  • AC-17
  • AC-20
  • SC-7
  • SC-8
相关 CRI 配置文件控制措施
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相关信息

禁止超级用户账号自行恢复

Google 控制 ID CI-CO-6.3
实现 可选
说明
攻击者可能会利用自助恢复流程重置超级用户密码。为了降低与 7 号信令系统 (SS7) 攻击、SIM 卡更换攻击或其他网络钓鱼攻击相关的安全风险,我们建议您关闭此功能。如需关闭此功能,请前往 Google 管理控制台中的账号恢复设置。
适用的产品
  • Cloud Identity
  • Google Workspace
相关 NIST-800-53 控制措施
  • IA-2
  • IA-4
  • IA-5
相关 CRI 配置文件控制措施
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
相关信息

关闭未使用的 Google 服务

Google 控制 ID CI-CO-6.6
实现 可选
说明
一般来说,我们建议您关闭不使用的服务。
适用的产品

Cloud Identity

路径 http://admin.google.com > Apps > Additional Google Services
运算符 设置

False

相关 NIST-800-53 控制措施
  • SC-7
  • SC-8
相关 CRI 配置文件控制措施
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相关信息

组织

本部分包含在 Cloud de Confiance by S3NS上运行工作负载时,有关组织政策服务和 Resource Manager 的最佳实践和准则。

限制 Google API 支持的 TLS 版本

Google 控制 ID COM-CO-1.1
实现 必需
说明

Cloud de Confiance 支持多个 TLS 协议版本。为满足合规性要求,您可能需要拒绝来自使用旧版 TLS 的客户端的握手请求。

如需配置此控制项,请使用限制 TLS 版本 (gcp.restrictTLSVersion) 组织政策限制条件。您可以将此限制条件应用于资源层次结构中的组织、文件夹或项目。限制 TLS 版本限制条件使用拒绝名单,该名单会拒绝明确的值,并允许所有其他值。如果您尝试使用许可名单,则会发生错误。

由于组织政策层次结构评估的行为,TLS 版本限制适用于指定的资源节点及其所有文件夹和项目(子级)。例如,如果您拒绝某个组织的 TLS 1.0 版,那么来自该组织的所有子级也会被拒绝。

您可以通过更新子资源上的组织政策来替换继承的 TLS 版本限制。例如,如果您的组织政策在组织一级拒绝 TLS 1.0,您可以通过在该子文件夹上设置单独的组织政策来移除该限制。如果文件夹有任何子级,则由于政策沿用,文件夹的政策也会应用于每个子资源。

如需进一步将 TLS 版本限制为仅限 TLS 1.3,您可以设置此政策,以同时限制 TLS 版本 1.2。您必须在 Cloud de Confiance by S3NS中托管的应用上实现此控制措施。例如,在组织级层,设置:

["TLS_VERSION_1","TLS_VERSION_1.1","TLS_VERSION_1.2"]

适用的产品

全部;由组织政策服务管理

路径 gcp.restrictTLSVersion
运算符 ==
  • TLS_VERSION_1
  • TLS_VERSION_1.1
类型 字符串
Compliance Manager 控制措施 ID RESTRICT_LEGACY_TLS_VERSIONS
相关 NIST-800-53 控制措施
  • SC-8
  • SC-13
相关 CRI 配置文件控制措施
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相关信息

限制已获授权的主账号

Google 控制 ID COM-CO-4.1
实现 必需
说明

确保只有您组织中的身份才能访问 Cloud de Confiance by S3NS 环境。使用网域限定共享 (iam.allowedPolicyMemberDomains) 或 iam.managed.allowedPolicyMembers 组织政策限制条件来定义一个或多个 Cloud Identity 或 Google Workspace 客户 ID,这些客户 ID 的主账号可以添加到 Identity and Access Management (IAM) 政策中。

这些限制有助于防止员工向组织控制范围之外的外部账号授予访问权限,而这些账号不遵循组织关于多重身份验证 (MFA) 或密码管理的安全性政策。此控制措施对于防止未经授权的访问至关重要,可确保只有受信任的受管理的企业身份才能用于访问。

适用的产品
  • 组织政策服务
  • IAM
路径 constraints/iam.allowedPolicyMemberDomains
运算符

CUSTOMER_ID,ORG_ID

类型 列表
相关 NIST-800-53 控制
  • AC-3
  • AC-17
  • AC-20
相关 CRI 配置文件控制措施
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相关信息

限制资源服务使用

Google 控制 ID RM-CO-4.1
实现 必需
说明

gcp.restrictServiceUsage 限制可确保仅在适当的位置使用您已获批准的 Cloud de Confiance by S3NS 服务。例如,生产文件夹或高度敏感的文件夹具有一小部分获准存储数据的 Cloud de Confiance 服务。沙盒文件夹可能包含更大的服务列表和相应的数据安全控制措施,有助于防止数据渗漏。该值特定于您的系统,并且与您批准的特定文件夹和项目的服务及依赖项列表相匹配。

此限制条件可让您的组织创建获批服务的许可名单,从而有助于防止员工使用未经审核的服务。

适用的产品
  • 组织政策服务
  • Resource Manager
路径 constraints/gcp.restrictServiceUsage
运算符
相关 NIST-800-53 控制措施
  • AC-3
  • AC-17
  • AC-20
相关 CRI 配置文件控制措施
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相关信息

限制资源位置

Google 控制 ID RM-CO-4.2
实现 必需
说明

资源位置限制 (gcp.resourceLocations) 限制条件可确保仅使用您已获批准的 Cloud de Confiance by S3NS 区域来存储数据。该值特定于您的系统,并且与组织批准的数据驻留区域列表相匹配。

通过此限制条件,您的组织可以强制规定资源和数据只能在特定的获批地理区域中创建和保存。

适用的产品
  • 组织政策服务
  • Resource Manager
路径 constraints/gcp.resourceLocations
运算符
相关 NIST-800-53 控制措施
  • AC-3
  • AC-17
  • AC-20
相关 CRI 配置文件控制措施
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相关信息

网络

本部分包含在 Cloud de Confiance by S3NS上运行工作负载时,有关虚拟私有云 (VPC) 和 Cloud DNS 的最佳实践和指南。

禁止创建默认网络

Google 控制 ID VPC-CO-6.1
实现 必需
说明

compute.skipDefaultNetworkCreation 布尔值限制条件会在创建 Cloud de Confiance by S3NS 项目时跳过默认网络和相关资源的创建作业。

默认网络是一个自动模式虚拟私有云 (VPC) 网络,其中预先填充了 IPv4 防火墙规则,以允许内部通信路径。一般来说,此设置不建议用于生产环境。

适用的产品
  • 组织政策服务
  • Virtual Private Cloud (VPC)
路径 constraints/compute.skipDefaultNetworkCreation

True

类型 布尔值
相关 NIST-800-53 控制措施
  • SC-7
  • SC-8
相关 CRI 配置文件控制措施
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相关信息

启用 DNS 安全扩展

Google 控制 ID DNS-CO-6.1
实现 必需
说明

域名系统安全扩展 (DNSSEC) 是域名系统 (DNS) 的一项功能,用于验证对域名查找的响应。它不会为这些查找提供隐私保护,但会阻止攻击者操控对 DNS 请求的响应或对该响应进行投毒攻击。

在 Cloud DNS 中,您可以在以下位置启用 DNSSEC:

  • DNS 区域
  • 顶级域名 (TLD)
  • DNS 解析
适用的产品

Cloud DNS

相关 NIST-800-53 控制
  • SC-7
  • SC-8
相关 CRI 配置文件控制措施
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相关信息

启用专用 Google 访问通道

Google 控制 ID GCVE-CO-1.5
实现 必需
说明

在所有子网上启用专用 Google 访问通道。

启用专用 Google 访问通道后,服务可以访问没有外部 IP 地址的 Cloud de Confiance by S3NS 服务。默认情况下,新资源未启用专用 Google 访问通道,需要执行额外的步骤才能明确启用该通道。

适用的产品

Virtual Private Cloud (VPC)

相关 NIST-800-53 控制措施
  • SC-7
  • SC-8
  • SC-13
相关 CRI 配置文件控制
  • PR.AC-3.1
相关信息

为服务提供方启用专用服务访问通道

Google 控制 ID GCVE-CO-1.6
实现 必需
说明

启用专用服务访问通道,以在 Cloud de Confiance by S3NS 服务(例如 Google Cloud VMware Engine 旧版网络)和服务提供方(例如 Cloud SQL)之间创建专用网络。专用服务访问通道有助于避免不必要地将工作负载网络连接暴露给互联网。

适用的产品

Virtual Private Cloud (VPC)

相关 NIST-800-53 控制措施
  • SC-7
  • SC-8
  • SC-13
相关 CRI 配置文件控制
  • PR.AC-3.1
相关信息

停用 IPv6(除非需要)

实现 必需
说明

除非有特殊要求,否则停用 IPv6 外部子网创建。为了缩小受攻击面,请考虑在未主动管理或不需要 IPv6 的系统和网络上停用 IPv6。许多组织针对 IPv4 制定了成熟的安全控制措施和监控措施,但其工具和政策可能无法完全扩展到 IPv6,这可能会造成严重的威胁盲区。运行双堆栈网络也会带来操作复杂性,需要特定的配置和专业知识才能有效管理和排查问题。因此,如果您没有明确的 IPv6 业务驱动因素,停用 IPv6 可以简化您的环境,并确保所有流量都通过您已建立的 IPv4 安全态势进行一致的过滤。

适用的产品

Compute Engine

路径 constraints/compute.disableVpcExternalIpv6
运算符

True

类型 布尔值
相关 NIST-800-53 控制措施
  • CM-7
相关 CRI 配置文件控制
  • PR.PT-3.1
相关信息

限制出站流量

实现 必需
说明

限制对外部来源的访问,因为默认情况下,系统允许所有出站访问。为需要出站的预期流量模式设置特定的防火墙规则。

默认情况下,系统通常可以建立与互联网的出站连接,这可能会被视为安全风险。默认拒绝政策会阻止出站流量,并且需要创建特定规则,以仅允许已知且必要的目的地。

适用的产品

Cloud Next Generation Firewall

路径 cloudasset.assets/assetType
运算符 ==

compute.googleapis.com/Firewall

类型 字符串
相关 NIST-800-53 控制措施
  • SC-7
相关 CRI 配置文件控制
  • PR.AC-3.1
相关信息

限制对 SSH 和 RDP 端口的入站访问

实现 必需
说明

尽可能将入站访问权限限制为仅限特定资源和资源范围。如果已配置 Identity-Aware Proxy (IAP),请将入站 SSH 和远程桌面协议 (RDP) 防火墙规则的来源设置为 IAP IP 范围。

宽松的 SSH 和 RDP 防火墙规则允许暴力攻击。请改为使用 Cloud de Confiance by S3NS SSH 和 RDP 的 Identity-Aware Proxy(例如 IAP)。

适用的产品

IAP

路径 cloudasset.assets/assetType
运算符 ==

compute.googleapis.com/Firewall

类型 字符串
相关 NIST-800-53 控制措施
  • SC-7
相关 CRI 配置文件控制
  • PR.AC-3.1
相关信息

启用 VPC Service Controls

实现 必需
说明

启用 VPC Service Controls 作为额外的保护层,以防止潜在的数据丢失。

VPC Service Controls 可为您的云资源、敏感数据和网络创建隔离边界,以帮助防止数据渗漏。

服务边界限制了被破解的凭据的作用,因为边界会阻止源于环境之外的攻击者控制的端点的受限服务请求。

适用的产品

VPC Service Controls

路径 accesscontextmanager.accessPolicies.servicePerimeters/perimeterType
运算符 ==

PERIMETER_TYPE_REGULAR

类型 字符串
相关 NIST-800-53 控制措施
  • SC-7
  • SC-8
相关 CRI 配置文件控制措施
  • PR.AC-3.1
相关信息

使用 Cloud Armor 政策

实现 必需
说明

对于在 Cloud Load Balancing 后面公开的应用,请使用 Google Cloud Armor 默认政策或配置您自己的政策,为面向外部的应用或服务添加第 3 层至第 7 层网络保护。Cloud Armor 安全政策可通过提供第 7 层过滤来帮助保护您的应用。这些政策还会检查传入的请求是否存在常见 Web 攻击或其他第 7 层属性,以防止相应流量到达负载均衡后端服务或后端存储分区。每个安全政策由一组规则组成,这些规则包含第 3 层到第 7 层的属性。

适用的产品

Cloud Armor

路径 compute.backendServices/securityPolicy
运算符 已设置
类型 字符串
相关 NIST-800-53 控制措施
  • SC-7
相关 CRI 配置文件控制
  • PR.AC-3.1
相关信息

在 Access Context Manager 访问权限政策中启用服务范围限制

Google 控制 ID COM-CO-8.1
实现 推荐用于生成式 AI 的应用场景
说明

对于每个服务边界,请在 Cloud de Confiance 控制台中确认边界类型已设置为常规。

适用的产品
  • Access Context Manager
  • VPC Service Controls
路径 accesscontextmanager.accessPolicies.servicePerimeters/perimeterType
运算符 ==

PERIMETER_TYPE_REGULAR

类型 字符串
相关 NIST-800-53 控制措施
  • SC-7
  • SC-8
相关 CRI 配置文件控制措施
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相关信息

在 VPC Service Controls 服务边界内限制 API

Google 控制 ID COM-CO-8.2
实现 推荐用于生成式 AI 的应用场景
说明

对于每个服务边界,请使用 Access Context Manager 确认该边界是否在保护 API。

适用的产品
  • VPC Service Controls
  • Access Context Manager
路径 accesscontextmanager.accessPolicies.servicePerimeters/status.restrictedServices
运算符 Anyof
  • aiplatform.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • cloudasset.googleapis.com
  • cloudbuild.googleapis.com
  • cloudfunctions.googleapis.com
  • cloudresourcemanager.googleapis.com
  • containeranalysis.googleapis.com
  • discoveryengine.googleapis.com
  • dns.googleapis.com
  • notebooks.googleapis.com
  • ondemandscanning.googleapis.com
  • orgpolicy.googleapis.com
  • pubsub.googleapis.com
  • secretmanager.googleapis.com
  • storage.googleapis.com
  • visionai.googleapis.com
类型 字符串
相关 NIST-800-53 控制措施
  • SC-7
  • SC-8
相关 CRI 配置文件控制措施
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相关信息

使用可用区级 DNS

Google 控制 ID DNS-CO-4.1
实现 可选
说明

借助 compute.setNewProjectDefaultToZonalDNSOnly 布尔值限制条件,您可以将新项目的内部 DNS 设置为仅使用可用区级 DNS。使用可用区级 DNS 是因为与个别可用区相比,可用区级 DNS 可将 DNS 注册中的故障隔离,从而提供更高的可靠性。

适用的产品

组织政策

路径 constraints/compute.setNewProjectDefaultToZonalDNSOnly
运算符 =

True

类型 布尔值
相关 NIST-800-53 控制
  • AC-3
  • AC-17
  • AC-20
相关 CRI 配置文件控制措施
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相关信息

日志记录、监控、提醒

本部分包含有关 Cloud de Confiance by S3NS 中日志记录和审核服务的最佳实践和指南,以及有关为 Cloud Billing 等服务配置提醒的最佳实践和指南。

共享 Cloud Identity 中的审核日志

Google 控制 ID CI-CO-6.5
实现 必需
说明

如果使用 Cloud Identity,请将 Cloud Identity 中的审核日志共享到 Cloud de Confiance by S3NS。

来自 Google Workspace 或 Cloud Identity 的管理员活动审核日志通常在 Google 管理控制台中管理和查看,与 Cloud de Confiance 环境中的日志分开。这些日志包含与您的 Cloud de Confiance 环境相关的信息,例如用户登录事件。

我们建议您将 Cloud Identity 审核日志共享到 Cloud de Confiance 环境,以便集中管理来自所有来源的日志。

适用的产品
  • Google Workspace
  • Cloud Logging
  • Cloud Identity
相关 NIST-800-53 控制措施
  • AC-2
  • AC-3
  • AC-8
  • AC-9
相关 CRI 配置文件控制措施
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
相关信息

使用审核日志

Google 控制 ID COM-CO-7.3
实现 必需
说明

Cloud de Confiance 服务会写入审核日志条目,以便回答“谁在何时何地对 Cloud de Confiance 资源执行了什么操作”这一问题。

在组织级层启用审核日志记录。您可以使用用于设置 Cloud de Confiance 组织的流水线来配置日志记录。

适用的产品

Cloud Audit Logs

相关 NIST-800-53 控制措施
  • AU-2
  • AU-3
  • AU-8
  • AU-9
相关 CRI 配置文件控制措施
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
相关信息

启用 VPC 流日志

Google 控制 ID COM-CO-7.4
实现 必需
说明

VPC 流日志会记录虚拟机实例(包括用作 Google Kubernetes Engine [GKE] 节点的实例)发送和接收的网络流样本。该样本通常是 50% 的 VPC 网络流或更少。

启用 VPC 流日志时,可以为子网中的所有虚拟机启用日志记录。 不过,您可以减少写入日志记录的信息量。

为每个 VPC 子网启用 VPC 流日志。您可以使用用于创建项目的流水线来配置日志记录。

适用的产品

虚拟私有云

相关 NIST-800-53 控制措施
  • AU-2
  • AU-3
  • AU-8
  • AU-9
相关 CRI 配置文件控制措施
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
相关信息

启用防火墙规则日志记录

Google 控制 ID COM-CO-7.5
实现 必需
说明

默认情况下,防火墙规则不会自动写入日志。通过防火墙规则日志记录,您可以审核、验证和分析防火墙规则所带来的影响。例如,您可以确定用于拒绝流量的防火墙规则是否如期发挥作用。如果您想确定特定防火墙规则影响的连接数,日志记录功能也十分有用。

为每条防火墙规则启用日志记录。您可以使用用于创建防火墙的流水线来配置日志记录。

适用的产品

虚拟私有云

相关 NIST-800-53 控制措施
  • AU-2
  • AU-3
  • AU-8
  • AU-9
相关 CRI 配置文件控制措施
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
相关信息

启用管理员活动审核

Google 控制 ID COM-CO-7.1
实现 必需
说明

默认情况下, Cloud de Confiance 处于启用状态,并且不允许任何人停用对特权账号的关键管理员活动的审核。

管理员活动审核日志包含各类 API 调用或其他操作的日志条目,这些调用或操作会修改资源的配置或元数据。例如,这些日志会记录用户创建虚拟机实例或更改 IAM 权限的时间。

管理员活动审核日志包含在组织、文件夹和项目级层创建、修改和删除组织政策限制的日志条目。

管理员活动审核日志始终会写入;您无法配置、排除或停用它们。即使您停用 Cloud Logging API,系统仍会生成管理员活动审核日志。

我们建议贵组织设置政策和程序来监控这些提醒,并根据企业访问政策生成操作或提醒,以监控管理员活动。

适用的产品

Cloud Audit Logs

相关 NIST-800-53 控制措施
  • AU-2
  • AU-3
  • AU-8
  • AU-9
相关 CRI 配置文件控制措施
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
相关信息

订阅安全公告

Google 控制 ID GKE-CO-1.8
实现 必需
说明

订阅 Cloud de Confiance by S3NS 服务的安全公告通知,以接收有关漏洞和缓解措施的提醒。

当有与您的 Cloud de Confiance by S3NS 服务(例如 GKE)相关的安全公告时,该服务会以消息的形式,将这些事件的通知发布到您配置的 Pub/Sub 主题。您可以在 Pub/Sub 订阅上接收这些通知,与第三方服务集成,并且可以过滤要接收的通知类型。

适用的产品

全部

相关 NIST-800-53 控制措施
  • SI-5
相关 CRI 配置文件控制
  • PR.IP-1.4
相关信息

配置重要联系人群组

实现 必需
说明

配置重要联系人,确保受监控的群组别名或邮寄名单能够收到重要通知。

Google 会将重要安全提醒(例如潜在的账号盗用)发送给列为重要联系人的电子邮件地址。如果使用个人的电子邮件地址接收此类通知,那么当该人员不在或已离职时,您将错过相应通知。

使用受监控的群组电子邮件地址有助于确保这些时间敏感型提醒能够发送给可快速响应的活跃团队。

适用的产品

Resource Manager

路径 essentialcontacts.googleapis.com/Contact
运算符 已设置
类型 字符串
相关 NIST-800-53 控制措施
  • IR-4
相关 CRI 配置文件控制
  • PR.IP-1.4
相关信息

监控结算异常情况

实现 必需
说明

使用 Cloud Billing 中的结算异常检测功能跟踪预期支出的任何峰值或偏差。

云账单突然意外飙升是安全遭入侵的主要迹象。有时,意外的结算费用高峰是因攻击者获得访问权限并使用资源进行未经授权的活动而造成的。

启用结算异常检测功能可提供必要的预警系统,以便您自动标记此类可疑活动。

适用的产品

Cloud Billing

相关 NIST-800-53 控制措施
  • AU-6
相关 CRI 配置文件控制
  • DE.AE-1.1
相关信息

将日志导出到日志接收器以进行长期存储

实现 必需
说明

创建日志接收器以导出日志,供安全监控解决方案使用,并设置保留期限以满足您的要求。

默认的日志保留期限通常不够长,无法满足 PCI 或 HIPAA 等合规性法规规定的 1-7 年期限要求。

创建日志接收器以将日志导出到长期存储位置对于履行某些法律和法规义务至关重要。您还可以通过日志接收器将日志发送到集中式安全监控系统,以进行高级威胁检测。

适用的产品

Cloud Logging

路径 logging.googleapis.com/LogSink/disabled
运算符

False

类型 布尔值
相关 NIST-800-53 控制措施
  • AU-9
相关 CRI 配置文件控制
  • PR.DS-4.1
相关信息

启用数据访问审核日志

Google 控制 ID COM-CO-7.2
实现 建议用于特定用例
说明

如需跟踪谁访问了 Cloud de Confiance by S3NS 环境中的数据,请启用数据访问审核日志。这些日志会记录用于读取、创建或修改用户数据的 API 调用,以及用于读取资源配置的 API 调用。

我们强烈建议您为生成式 AI 模型和敏感数据启用数据访问审核日志,以确保您可以审核谁读取了相关信息。如需使用数据访问审核日志,您必须为特定活动(例如超级用户登录)设置自己的自定义检测逻辑。

数据访问审核日志量可能很大。启用数据访问日志可能会导致您的 Cloud de Confiance 项目因额外的日志使用量而产生费用。

适用的产品

Cloud Audit Logs

相关 NIST-800-53 控制措施
  • AU-2
  • AU-3
  • AU-8
  • AU-9
相关 CRI 配置文件控制措施
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
相关信息

配置结算提醒

Google 控制 ID CB-CO-6.1
实现 推荐
说明

您可以设定 Cloud Billing 预算,集中监控所有 Cloud de Confiance by S3NS 费用,以免产生意外费用。设置预算金额后,您可以按项目设置预算提醒阈值规则,以触发邮件通知。这些通知有助于您跟踪支出相对于预算的变化情况。您还可以使用 Cloud Billing 预算来自动执行费用控制响应。

适用的产品

Cloud Billing

相关 NIST-800-53 控制措施
  • SI-4
  • SI-5
相关 CRI 配置文件控制
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
  • ID.RA-1.1
  • ID.RA-2.1
  • ID.RA-3.1
  • ID.RA-3.2
  • ID.RA-3.3
相关信息

启用 Access Transparency 日志

Google 控制 ID COM-CO-7.7
实现 可选
说明

标准日志会显示您组织中用户执行的操作,而 Access Transparency 日志会显示 Google 支持人员在访问账号时执行的操作。此访问权限通常仅在响应支持请求时授予。Access Transparency 日志可提供完整且可验证的所有访问审核跟踪记录,这对于满足严格的合规性和数据治理要求至关重要。

您可以在组织级层启用 Access Transparency。

适用的产品

Access Transparency

相关 NIST-800-53 控制措施
  • AU-2
  • AU-3
  • AU-8
  • AU-9
相关 CRI 配置文件控制措施
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
相关信息

导出结算数据以进行详细分析

Google 控制 ID CB-CO-6.2
实现 可选
说明

如需进一步分析结算数据,您可以将 Cloud de Confiance by S3NS 结算数据导出到 BigQuery 或 JSON 文件。例如,您可以将详细数据(如用量、费用估算和价格)自动全天导出到您指定的 BigQuery 数据集。然后,您可以从 BigQuery 访问 Cloud Billing 数据以进行详细分析,或者使用数据洞察等工具直观呈现您的数据。

适用的产品
  • BigQuery Data Transfer Service
  • BigQuery
  • Cloud Billing
相关 NIST-800-53 控制措施
  • SI-4
  • SI-5
相关 CRI 配置文件控制
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
  • ID.RA-1.1
  • ID.RA-2.1
  • ID.RA-3.1
  • ID.RA-3.2
  • ID.RA-3.3
相关信息

密钥和 Secret 管理

本部分包含在Cloud de Confiance by S3NS上运行工作负载时,有关 Cloud Key Management Service 和 Secret Manager 的最佳实践和准则。

加密 Cloud de Confiance中的静态数据

Google 控制 ID COM-CO-2.1
实现 必需(默认)
说明

默认情况下, Cloud de Confiance 中的所有数据均使用 NIST 批准的算法进行静态加密。

适用的产品

Cloud de Confiance 默认

相关 NIST-800-53 控制措施
  • SC-28
相关 CRI 配置文件控制措施
  • PR.DS-1.1
  • PR.DS-1.2
相关信息

使用 NIST 批准的算法进行加密和解密

Google 控制 ID COM-CO-2.4
实现 必需
说明

确保 Cloud Key Management Service (Cloud KMS) 仅使用 NIST 批准的算法在环境中存储敏感密钥。此控制项可确保仅通过 NIST 批准的算法和安全性来安全使用密钥。CryptoKeyVersionAlgorithm 字段是提供的许可名单。

移除不符合组织政策的算法。

适用的产品

Cloud KMS

路径 cloudkms.projects.locations.keyRings.cryptoKeys/versionTemplate.algorithm
运算符 英寸
  • RSA_SIGN_PSS_2048_SHA256
  • RSA_SIGN_PSS_3072_SHA256
  • RSA_SIGN_PSS_4096_SHA256
  • RSA_DECRYPT_OAEP_2048_SHA256
  • RSA_DECRYPT_OAEP_4096_SHA256
  • RSA_DECRYPT_OAEP_2048_SHA1
  • RSA_DECRYPT_OAEP_4096_SHA1
类型 字符串
相关 NIST-800-53 控制措施
  • SC-12
  • SC-13
相关 CRI 配置文件控制措施
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相关信息

设置 Cloud KMS 密钥的用途

Google 控制 ID COM-CO-2.5
实现 必需
说明

将 Cloud KMS 密钥的用途设置为 ENCRYPT_DECRYPT,以便密钥仅用于加密和解密数据。此控制会阻止其他功能(例如签名),并确保密钥仅用于其预期用途。如果您将密钥用于其他功能,请验证这些使用情形,并考虑创建其他密钥。

适用的产品

Cloud KMS

路径 cloudkms.projects.locations.keyRings.cryptoKeys/purpose
运算符 ==

ENCRYPT_DECRYPT

类型 字符串
相关 NIST-800-53 控制措施
  • SC-12
  • SC-13
相关 CRI 配置文件控制措施
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相关信息

确保 CMEK 设置适合安全的 BigQuery 数据仓库

Google 控制 ID COM-CO-2.6
实现 必需
说明

保护级别指示加密操作的执行方式。创建客户管理的加密密钥 (CMEK) 后,您无法更改保护级别。支持的保护级别如下:

  • 软件:在软件中执行加密操作。
  • HSM:在硬件安全模块 (HSM) 中执行加密操作。
  • 外部:使用存储在外部密钥管理器中的密钥执行加密操作,该外部密钥管理器通过互联网连接到 Cloud de Confiance 。限制为对称加密和非对称签名。
  • EXTERNAL_VPC::使用存储在外部密钥管理器中的密钥执行加密操作,该外部密钥管理器通过虚拟私有云 (VPC) 网络连接到 Cloud de Confiance 。限制为对称加密和非对称签名。
适用的产品
  • Cloud KMS
  • BigQuery
路径 cloudkms.projects.locations.keyRings.cryptoKeys/primary.protectionLevel
运算符 英寸

[]

类型 字符串
相关 NIST-800-53 控制措施
  • SC-12
  • SC-13
相关 CRI 配置文件控制措施
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相关信息

每 90 天轮替一次加密密钥

Google 控制 ID COM-CO-2.7
实现 必需
说明

确保将 Cloud KMS 密钥的轮替周期设置为 90 天。一般而言,最佳做法是定期轮替安全密钥。此控制措施会强制轮替使用 HSM 服务创建的密钥。

创建此轮换周期时,还应制定适当的政策和程序,以安全地处理密钥材料的创建、删除和修改,从而帮助保护您的信息并确保可用性。确保此期限符合贵公司的密钥轮替政策。

适用的产品

Cloud KMS

路径 cloudkms.projects.locations.keyRings.cryptoKeys/rotationPeriod
运算符 <=

90

类型 int32
相关 NIST-800-53 控制措施
  • SC-12
  • SC-13
相关 CRI 配置文件控制措施
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相关信息

设置自动密文轮替

Google 控制 ID SM-CO-6.2
实现 必需
说明
自动轮替密文并在密文被破解时执行紧急轮替过程。
适用的产品

Secret Manager

相关 NIST-800-53 控制措施
  • SC-12
  • SC-13
相关 CRI 配置文件控制措施
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相关信息

创建托管加密策略

实现 必需
说明

使用 Cloud Key Management Service (Cloud KMS) 和 Autokey、Cloud External Key Manager (Cloud EKM) 或同时使用这两者来制定加密管理策略。借助此策略,贵组织可以使用和管理自己的加密密钥,以满足您的特定要求。使用您自己的加密密钥可对数据访问权限进行精细的、可审核的控制,包括能够通过停用密钥立即阻止对数据的访问。

适用的产品
  • Cloud KMS
  • Cloud EKM
相关 NIST-800-53 控制措施
  • SC-12
相关 CRI 配置文件控制
  • PR.DS-1.1
相关信息

为 Pub/Sub 消息使用 CMEK

Google 控制 ID PS-CO-6.1
实现 推荐
说明
为 Pub/Sub 启用客户管理的加密密钥 (CMEK) 后,您可以更好地控制 Pub/Sub 用于保护消息的加密密钥。在应用层,Pub/Sub 会在收到每条传入消息时对其进行单独加密。Pub/Sub 向订阅发布消息之前,会使用系统为相应主题生成的最新数据加密密钥 (DEK) 对消息进行加密。在消息即将传送给订阅者之前,Pub/Sub 会对消息进行解密。 Pub/Sub 使用 Cloud de Confiance by S3NS 服务账号访问 Cloud Key Management Service。Pub/Sub 会在内部为每个项目保存该服务账号不会显示在您的服务账号列表中。
适用的产品
  • Cloud KMS
  • Pub/Sub
相关 NIST-800-53 控制措施
  • SC-12
  • SC-13
相关 CRI 配置文件控制措施
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相关信息

限制客户管理的加密密钥的位置

Google 控制 ID COM-CO-2.2
实现 推荐
说明

使用限制哪些项目可以为 CMEK 提供 KMS CryptoKey (gcp.restrictCmekCryptoKeyProjects) 组织政策限制条件来定义哪些项目可以存储客户管理的加密密钥 (CMEK)。借助此限制,您可以集中管理加密密钥。如果所选密钥不符合此限制条件,资源创建会失败。

如需修改此限制条件,管理员需要拥有 Organization Policy Administrator (roles/orgpolicy.policyAdmin) IAM 角色。

如果您想添加第二层保护,例如自带密钥,请更改此限制以表示已启用的 CMEK 的密钥名称。

产品详情:

  • 在 Gemini Enterprise Agent Platform 中,您将密钥存储在密钥项目中。
适用的产品
  • Cloud KMS
  • 组织政策
路径 constraints/gcp.restrictCmekCryptoKeyProjects
运算符 notexists

KEY PROJECTS

类型 字符串
相关 NIST-800-53 控制措施
  • SC-12
  • SC-13
相关 CRI 配置文件控制措施
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相关信息

为 Cloud de Confiance 服务使用 CMEK

Google 控制 ID COM-CO-2.3
实现 推荐
说明

如果您需要更好地控制密钥操作,且控制程度超出了 Google Cloud-powered encryption keys 允许的范围,可以使用客户管理的加密密钥 (CMEK)。这些密钥是使用 Cloud KMS 创建和管理的。将密钥作为软件密钥存储在 HSM 集群中或外部密钥管理系统中。

Cloud KMS 加密和解密费率受配额限制。

Cloud Storage 详细信息

在 Cloud Storage 中,您可以在单个对象上使用 CMEK,也可以将 Cloud Storage 存储桶配置为在添加到存储桶的所有新对象上默认使用 CMEK。使用 CMEK 时,Cloud Storage 会在对象存储到存储桶中时使用该密钥加密对象,并且 Cloud Storage 会在对象传送给请求者时自动解密对象。

将 CMEK 与 Cloud Storage 搭配使用时,存在以下限制:

  • 您无法通过更新对象的元数据来使用 CMEK 加密对象。在对象的重写过程中将该密钥包含在内。
  • 您的 Cloud Storage 使用对象更新命令在对象上设置加密密钥,但该命令会在请求中重写对象。
  • 您必须在要加密的数据所在的位置创建 Cloud KMS 密钥环。例如,如果您的存储桶位于 us-east1,用于加密其中对象的任何密钥环也必须在 us-east1 中创建。
  • 对于大多数双区域,您必须在关联的多区域中创建 Cloud KMS 密钥环。例如,如果您的存储桶位于 us-east1us-west1 对中,则用于加密其中对象的任何密钥环必须在美国多区域中创建。
  • 对于 asia1eur4nam4 预定义的双区域,您必须在同一预定义的双区域中创建密钥环。
  • 使用 JSON API 列出对象时,系统不会返回使用 CMEK 加密的对象的 CRC32C 校验和和 MD5 哈希。
  • 使用 Cloud Storage 等工具对每个加密对象执行额外的元数据 GET 请求,以检索 CRC32C 和 MD5 信息,可以大幅缩短列出时间。Cloud Storage 不能使用存储在 Cloud KMS 中的非对称密钥的解密部分,按照与 CMEK 相同的方式自动解密相关对象。
适用的产品
  • Cloud KMS
  • 组织政策
  • Cloud Storage
路径 constraints/gcp.restrictNonCmekServices
运算符 ==
  • bigquery.googleapis.com
  • storage.googleapis.com
  • aiplatform.googleapis.com
类型 字符串
相关 NIST-800-53 控制措施
  • SC-12
  • SC-13
相关 CRI 配置文件控制措施
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相关信息

自动复制密文

Google 控制 ID SM-CO-6.1
实现 推荐
说明
除非您的工作负载有特定的位置要求,否则请选择自动复制政策来复制密文。自动政策可满足大多数工作负载的可用性和性能需求。如果您的工作负载有特定位置要求,您可以在创建密文时使用 API 为复制政策选择位置。
适用的产品

Secret Manager

相关 NIST-800-53 控制措施
  • SC-12
  • SC-13
相关 CRI 配置文件控制措施
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相关信息

安全态势和分析

本文档包含在 Cloud de Confiance by S3NS上运行工作负载时 Security Command Center 的最佳实践和准则。

在组织级层启用 Security Command Center

Google 控制 ID SCC-CO-6.1
实现 必需
说明
在组织级层启用 Security Command Center,以避免额外的配置。如果您不想使用 Security Command Center,则必须启用其他安全状况管理解决方案。
适用的产品

Security Command Center

相关 NIST-800-53 控制
  • SI-4
  • SI-5
相关 CRI 配置文件控制
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
  • ID.RA-1.1
  • ID.RA-2.1
  • ID.RA-3.1
  • ID.RA-3.2
  • ID.RA-3.3
相关信息

在 Security Command Center 中配置提醒

Google 控制 ID SCC-CO-7.1
实现 推荐
说明
Security Command Center 中的提醒可让您了解组织,并通知您 Cloud de Confiance by S3NS 服务存在的问题,以便您采取适当的措施。您可以在 Cloud Logging 中设置提醒,以便在发生与 Security Command Center 服务代理 (service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com) 相关的错误时收到通知。
适用的产品
  • Security Command Center
  • 日志记录
相关 NIST-800-53 控制
  • AU-2
  • AU-3
  • AU-8
  • AU-9
相关 CRI 配置文件控制措施
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
相关信息

后续步骤