安全企業基礎控管

本文提供最佳做法和指南,協助您在執行使用Cloud de Confiance by S3NS的工作負載時,建構安全的企業基礎。安全的企業基礎包括下列項目的控管措施:

驗證及授權

本節提供 Identity and Access Management (IAM) 和 Cloud Identity 最佳做法和指南,適用於在 Cloud de Confiance by S3NS上執行工作負載的情況。

停用預設服務帳戶的自動 IAM 授予功能

Google 控制項 ID IAM-CO-4.1
實作 必填
說明

如果 Cloud de Confiance by S3NS 服務自動建立具有過於寬鬆角色的預設服務帳戶,請使用 automaticIamGrantsForDefaultServiceAccounts 布林值限制停用自動角色授予功能。

根據預設,部分系統會授予自動化帳戶過於廣泛的權限,這可能會造成安全風險。舉例來說,如果您未強制執行這項限制,當您建立預設服務帳戶時,系統會自動將專案的編輯者角色 (roles/editor) 授予該服務帳戶。如果攻擊者入侵系統的某個部分,就可能掌控整個專案。這項限制會停用這些自動的高層級權限,強制採用更安全、審慎的方法,只授予必要的最低權限。

適用產品
  • IAM
  • 組織政策服務
路徑 constraints/iam.automaticIamGrantsForDefaultServiceAccounts
運算子

False

類型 布林值
相關的 NIST-800-53 控制項
  • AC-3
  • AC-17
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相關資訊

禁止建立外部服務帳戶金鑰

Google 控制項 ID IAM-CO-4.2
實作 必填
說明

使用 iam.disableServiceAccountKeyCreation 布林限制,禁止建立外部服務帳戶金鑰。這項限制可讓您控管服務帳戶的非代管長期憑證。設定此限制後,即無法為受限專案的服務帳戶建立使用者自行管理的憑證。

適用產品
  • 組織政策服務
  • IAM
路徑 constraints/iam.disableServiceAccountKeyCreation
運算子

True

類型 布林值
相關的 NIST-800-53 控制項
  • AC-3
  • AC-17
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相關資訊

禁止上傳服務帳戶金鑰

Google 控制項 ID IAM-CO-4.3
實作 必填
說明

使用 iam.disableServiceAccountKeyUpload 布林限制,禁止將外部公開金鑰上傳至服務帳戶。設定此限制後,使用者就無法將公開金鑰上傳至受限專案的服務帳戶。

適用產品
  • 組織政策服務
  • IAM
路徑 constraints/iam.disableServiceAccountKeyUpload
運算子

True

類型 布林值
相關的 NIST-800-53 控制項
  • AC-3
  • AC-17
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相關資訊

為機構政策管理員設定分散權責

Google 控制項 ID OPS-CO-6.1
實作 必填
說明
將組織政策管理員 (roles/orgpolicy.policyAdmin) 角色指派給負責 Cloud de Confiance by S3NS 組織資安態勢的群組。為避免建立違反安全性政策的資源,請勿將這個角色指派給專案擁有者。
適用產品
  • IAM
  • 組織政策服務
相關的 NIST-800-53 控制項
  • AC-2
  • AC-3
  • AC-5
相關的 CRI 設定檔控制項
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
相關資訊

為超級管理員帳戶啟用兩步驟驗證

Google 控制項 ID CI-CO-6.1
實作 必填
說明

Google 建議超級管理員帳戶使用 Titan 安全金鑰進行兩步驟驗證。不過,如果無法使用安全金鑰,建議改用其他安全金鑰。

適用產品
  • Cloud Identity
  • Titan 安全金鑰
相關的 NIST-800-53 控制項
  • IA-2
  • IA-4
  • IA-5
  • IA-7
相關的 CRI 設定檔控制項
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
相關資訊

對超級管理員機構單位強制執行兩步驟驗證

Google 控制項 ID CI-CO-6.2
實作 必填
說明

對特定組織單位 (OU) 或整個機構強制執行兩步驟驗證。建議您為超級管理員建立機構單位,並對該機構單位強制執行兩步驟驗證。

適用產品

Cloud Identity

相關的 NIST-800-53 控制項
  • IA-2
  • IA-4
  • IA-5
  • IA-7
相關的 CRI 設定檔控制項
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
相關資訊

為主要超級管理員建立專屬電子郵件地址

Google 控制項 ID CI-CO-6.4
實作 必填
說明
建立一個非特定使用者的電子郵件地址,做為主要的 Cloud Identity 超級管理員帳戶。
適用產品

Cloud Identity

相關的 NIST-800-53 控制項
  • IA-2
  • IA-4
  • IA-5
相關的 CRI 設定檔控制項
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
相關資訊

建立備援管理員帳戶

Google 控制項 ID CI-CO-6.7
實作 必填
說明

沒有單一超級管理員或機構管理員。建立一或多個 (最多 20 個) 備份管理員帳戶。如果只有一位超級管理員或機構管理員,可能會導致帳戶遭到鎖定。此外,由於一個人就能變更平台,且可能沒有監督機制,因此這種情況的風險也較高。

適用產品
  • 身分與存取權管理 (IAM)
  • Google Workspace
  • Cloud Identity
相關的 NIST-800-53 控制項
  • IA-2
  • IA-4
  • IA-5
相關的 CRI 設定檔控制項
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
相關資訊

使用 Privileged Access Manager

Google 控制項 ID GCVE-CO-3.2
實作 必填
說明

使用 Privileged Access Manager 管理特殊權限存取權。如要授予其他存取權,請使用存取權群組、讓群組成員資格自動過期,並為群組成員資格導入核准工作流程。

使用最低權限模式,您就能只在需要時提供資源存取權。使用預先建立的角色可簡化操作,並減少自訂角色造成的擴散,因此您不必擔心管理角色生命週期。

適用產品

身分與存取權管理 (IAM)

相關的 NIST-800-53 控制項
  • AC-2
  • AC-3
  • AC-6
相關的 CRI 設定檔控制項
  • PR.AC-4.1
相關資訊

定義可靠的識別資訊來源

實作 必填
說明

決定要用哪個來源佈建受管理的使用者身分。模式包括在 Cloud Identity 中建立使用者身分、從現有身分提供者同步處理身分,或使用 Workforce Identity Federation。

適用產品
  • Cloud Identity
  • 員工身分聯盟
相關的 NIST-800-53 控制項
  • AC-2
相關的 CRI 設定檔控制項
  • PR.AC-1.1
相關資訊

強制執行高強度密碼政策

實作 必填
說明

為所有使用者帳戶強制設定不重複的高強度密碼。建議使用密碼管理工具。惡意使用者通常會利用強度不足或沒有憑證的模式。

適用產品
  • 身分與存取權管理 (IAM)
  • Google Workspace
  • Cloud Identity
相關的 NIST-800-53 控制項
  • IA-5
相關的 CRI 設定檔控制項
  • PR.AC-1.1
相關資訊

使用依據職責的角色

實作 必填
說明

根據工作職責使用 Identity and Access Management (IAM) 角色,為使用者指派權限。職務功能是預先定義的角色,管理員可提供一組僅限於職務功能的權限,進而提高工作效率,並減少來回要求權限的次數。為更符合貴機構的需求,您可以根據預先定義的角色建立自訂角色。

適用產品

IAM

相關的 NIST-800-53 控制項
  • AC-6
相關的 CRI 設定檔控制項
  • PR.AC-4.1
相關資訊

限制群組中的外部成員

實作 必填
說明

設定全機構適用的政策,禁止將外部成員新增至 Google 網路論壇。

根據預設,外部使用者帳戶可以新增至 Cloud Identity 中的群組。建議您設定共用設定,禁止群組擁有者新增外部成員。

請注意,這項限制不適用於超級管理員帳戶,也不適用於具備 Google 協作群組管理員權限的其他委派管理員。由於身分識別提供者的同盟作業會以管理員權限執行,因此群組共用設定不適用於這項群組同步作業。建議您檢查身分識別提供者和同步機制中的控制項,確保系統不會將非網域成員新增至群組,或套用群組限制。

適用產品
  • Cloud Identity
  • Google Workspace
相關的 NIST-800-53 控制項
  • AC-2
  • AC-3
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-5.1
相關資訊

設定每日工作階段長度

實作 必填
說明

設定 Cloud de Confiance by S3NS 服務的工作階段長度,確保每天至少過期一次。長時間讓帳戶保持登入狀態會帶來安全風險。強制設定工作階段最長持續時間,可讓系統在設定時間過後自動結束工作階段,並強制使用者重新安全登入。

這項做法可減少惡意使用者利用竊取的密碼登入的機會,並確保系統定期重新驗證存取權。

新客戶的預設工作階段長度為 16 小時,系統會自動強制執行這項設定。如果客戶在 2023 年前建立機構,預設設定可能為永不要求重新驗證。 Cloud de Confiance by S3NS 請檢查這項設定,確保重新驗證政策的工作階段長度介於 1 到 24 小時。重新驗證政策會使更新權杖失效,並強制使用者定期以密碼或安全金鑰重新驗證 gcloud CLI。

Cloud de Confiance by S3NS 服務的工作階段時間長度與 Google 服務的工作階段時間長度是不同的設定。前者控管 Google Workspace 服務的登入網路工作階段,但不會控管 Cloud de Confiance by S3NS的重新驗證。如果您使用 Google Workspace 服務,請同時設定這兩項服務的工作階段長度。

適用產品
  • 身分與存取權管理 (IAM)
  • Google Workspace
  • Cloud Identity
相關的 NIST-800-53 控制項
  • AC-12
相關的 CRI 設定檔控制項
  • PR.AC-7.1
相關資訊

修正未受管理的個人帳戶

實作 必填
說明

請勿允許非受管的個人帳戶。整合所有非受管的個人帳戶,並考慮採用解決方案,防止使用者透過您的網域建立更多非受管的個人帳戶。

非受管的個人帳戶不受員工加入/異動/離職 (JML) 程序控管,因此員工離職後仍可存取資源,造成安全風險。就網域限制共用等控制項而言,這些帳戶也會視為外部帳戶。

適用產品

Cloud Identity

相關的 NIST-800-53 控制項
  • AC-2
相關的 CRI 設定檔控制項
  • PR.AC-1.1
相關資訊

強制使用專屬管理員和多方核准機制

實作 必填
說明

請務必將超級管理員帳戶與日常使用的使用者帳戶分開。超級管理員帳戶必須是專用帳戶,僅用於進行重大變更。為提高安全性,請開啟管理員動作的多方核准機制。開啟多方核准機制後,如有敏感操作,須經由兩位管理員核准,有助於防範攻擊者入侵管理員帳戶,並封鎖其他管理員使用者。

適用產品
  • 身分與存取權管理 (IAM)
  • Google Workspace
  • Cloud Identity
相關的 NIST-800-53 控制項
  • AC-6
相關的 CRI 設定檔控制項
  • PR.AC-4.1
相關資訊

為所有 Google 帳戶和 Cloud Identity 使用者啟用多重驗證

Google 控制項 ID CI-CO-6.1
實作 必填
說明

為所有 Google 帳戶和 Cloud Identity 使用者 (不只是超級管理員) 啟用多重驗證 (簡稱 MFA,又稱為「兩步驟驗證」)。超級管理員的 MFA 預設為啟用。單靠密碼通常無法提供足夠的安全防護,因此 MFA 會再添一道防線。

適用產品
  • 身分與存取權管理 (IAM)
  • Google Workspace
  • Cloud Identity
相關的 NIST-800-53 控制項
  • IA-2
相關的 CRI 設定檔控制項
  • PR.AC-1.1
相關資訊

撤銷預設建立者角色

實作 必填
說明

移除系統預設授予新機構所有成員的網域層級「專案建立者」和「帳單帳戶建立者」角色。

新機構會將「專案建立者」和「帳單帳戶建立者」角色授予網域中的所有受管理使用者身分。雖然這些角色有助於入門,但這項設定不適用於正式環境。如果帳單帳戶數量過多,管理負擔就會增加,而且在多個帳單帳戶之間分割服務時,也會造成技術上的影響。允許隨意建立專案可能會導致專案不符合管理慣例。

請改為移除這些角色,並建立專案建立程序,要求建立新專案並與帳單建立關聯。

適用產品

IAM

路徑 resourcemanager.organizations/iamPolicy.bindings
運算子 not_contains
  • role:roles/resourcemanager.projectCreator AND member:domain:*
  • role:roles/billing.creator AND member:domain:*
類型 字串
相關的 NIST-800-53 控制項
  • AC-6
相關的 CRI 設定檔控制項
  • PR.AC-4.1
相關資訊

輪替服務帳戶金鑰

實作 必填
說明

如果必須使用服務帳戶金鑰,請至少每 90 天輪替一次金鑰。

輪替間隔會限制攻擊者存取系統的時間長度。如果沒有輪替間隔,攻擊者就能永久存取。盡可能使用 Workload Identity 聯盟,而非服務帳戶金鑰。

適用產品

IAM

路徑 constraints/iam.serviceAccountKeyExpiryHours
運算子 <=

2160

類型 字串
相關的 NIST-800-53 控制項
  • SC-12
相關的 CRI 設定檔控制項
  • PR.DS-1.1
相關資訊

使用 Workload Identity 聯盟

實作 必填
說明

使用 Workload Identity Federation,讓 CI/CD 系統和其他雲端執行的工作負載向 Cloud de Confiance by S3NS進行驗證。Workload Identity Federation 可讓在 Cloud de Confiance 外部執行的工作負載進行驗證,不必使用服務帳戶金鑰。Workload Identity Federation 可避免使用服務帳戶金鑰和其他長期憑證,有助於降低憑證外洩風險。

適用產品

IAM

路徑 iam.googleapis.com/WorkloadIdentityPool
運算子 已設定
類型 字串
相關的 NIST-800-53 控制項
  • IA-2
相關的 CRI 設定檔控制項
  • PR.AC-1.1
相關資訊

禁止超級管理員帳戶自助式救援

Google 控制項 ID CI-CO-6.3
實作 必填
說明

新客戶的超級管理員帳戶自助救援功能預設為關閉。不過,現有顧客可能已啟用這項設定。關閉這項設定有助於降低風險,避免攻擊者透過遭入侵的手機、電子郵件或社交工程攻擊,取得環境的超級管理員權限。

規劃內部程序,讓超級管理員在無法存取帳戶時,可以聯絡貴機構的其他超級管理員,並確保所有超級管理員都熟悉支援人員協助復原的程序。

如要關閉這項功能,請前往 Google 管理控制台中的帳戶救援設定。

適用產品
  • Cloud Identity
  • Google Workspace
相關的 NIST-800-53 控制項
  • AC-2
  • AC-3
相關的 CRI 設定檔控制項
  • PR.AC-1.1
  • PR.AC-4.1
相關資訊

針對敏感用途設定閒置工作階段逾時

實作 必填
說明

對於機密用途,請將閒置工作階段逾時時間設為 15 分鐘。攻擊者可能會利用閒置工作階段竊取憑證。

適用產品
  • 身分與存取權管理 (IAM)
  • Google Workspace
  • Cloud Identity
相關的 NIST-800-53 控制項
  • AC-12
相關的 CRI 設定檔控制項
  • PR.AC-7.1
相關資訊

強制管理員使用實體安全金鑰

實作 必填
說明

盡可能為超級管理員或機構管理員提供硬體安全金鑰做為第二重驗證。超級管理員帳戶是複雜攻擊鎖定的最高價值目標。實體安全金鑰可防範網路釣魚,因此能提供高層級的保護。針對最重要的系統管理員,硬體安全金鑰是防範帳戶入侵的最強大防禦措施,也是標準 MFA 政策的進階版。

適用產品
  • 身分與存取權管理 (IAM)
  • Google Workspace
  • Cloud Identity
相關的 NIST-800-53 控制項
  • IA-2
相關的 CRI 設定檔控制項
  • PR.AC-1.1
相關資訊

啟用單一登入 (SSO) 後驗證

實作 必填
說明

如果您使用外部識別資訊提供者,請設定單一登入後驗證。

根據 Google 的登入風險分析,啟用額外的控制層級。套用這項設定後,如果 Google 判斷使用者登入活動可疑,可能會在使用者登入時要求他們回答風險相關登入身分確認問題。

適用產品
  • Cloud Identity
  • Google Workspace
相關的 NIST-800-53 控制項
  • IA-2
  • IA-5
  • IA-8
相關的 CRI 設定檔控制項
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-3.1
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
相關資訊

啟用主體存取邊界政策

實作 必填
說明

啟用主體存取邊界 (PAB) 政策,限制主體存取權,防範網路釣魚和資料外洩。為機構啟用 PAB 政策,避免外部網路釣魚攻擊。PAB 可減少遭盜用身分發動攻擊的影響範圍,並防範外部網路釣魚和其他外洩攻擊,進而提升安全性。

適用產品

IAM

路徑 iam.googleapis.com/PrincipalAccessBoundaryPolicy
運算子 已設定
類型 字串
相關的 NIST-800-53 控制項
  • AC-3
相關的 CRI 設定檔控制項
  • PR.AC-3.1
相關資訊

導入標記以便有效指派 IAM 政策和組織政策

Google 控制項 ID IAM-CO-6.1
實作 建議
說明

標記可用於建立資源的註解,在某些情況下,還可將資源是否具備特定標記設為條件,並按照這項條件允許或拒絕政策。只要使用標記並依據條件強制執行政策,即可精細控管資源階層結構。

適用產品

Resource Manager

相關的 NIST-800-53 控制項
  • AC-2
  • AC-3
  • AC-5
相關的 CRI 設定檔控制項
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
相關資訊

稽核 IAM 的高風險變更

Google 控制項 ID IAM-CO-7.1
實作 建議
說明

使用 Cloud 稽核記錄監控高風險活動,例如帳戶獲派組織管理員和超級管理員等高風險角色。設定這類活動的快訊。

適用產品

Cloud 稽核記錄

相關的 NIST-800-53 控制項
  • AU-2
  • AU-3
  • AU-8
  • AU-9
相關的 CRI 設定檔控制項
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
相關資訊

封鎖 Cloud Identity 代管使用者帳戶的 Cloud Shell 存取權

Google 控制項 ID CI-CO-6.8
實作 建議
說明

為避免授予過多的存取權給 Cloud de Confiance by S3NS,請封鎖 Cloud Identity 管理的使用者帳戶對 Cloud Shell 的存取權。

適用產品
  • Cloud Identity
  • Cloud Shell
相關的 NIST-800-53 控制項
  • SC-7
  • SC-8
相關的 CRI 設定檔控制項
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相關資訊

為 Google 控制台設定情境感知存取權

Google 控制項 ID IAM-CO-8.2
實作 選用
說明

透過情境感知存取權功能,您可以根據使用者身分、位置、裝置安全性狀態和 IP 位址等屬性,為應用程式建立精細的存取控管安全性政策。建議您使用情境感知存取權,限制對 Cloud de Confiance 控制台 (https://console.cloud.google.com/) 和 Google 管理控制台 (https://admin.cloud.google.com) 的存取權。

適用產品
  • Cloud Identity
  • 情境感知存取權
相關的 NIST-800-53 控制項
  • AC-3
  • AC-12
  • AC-17
  • AC-20
  • SC-7
  • SC-8
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相關資訊

禁止超級管理員帳戶自助式救援

Google 控制項 ID CI-CO-6.3
實作 選用
說明
攻擊者可能會利用自助救援程序重設超級管理員密碼。為降低與第 7 號信號系統 (SS7) 攻擊、SIM 卡調換攻擊或其他網路釣魚攻擊相關的安全風險,建議您關閉這項功能。如要關閉這項功能,請前往 Google 管理控制台中的帳戶救援設定。
適用產品
  • Cloud Identity
  • Google Workspace
相關的 NIST-800-53 控制項
  • IA-2
  • IA-4
  • IA-5
相關的 CRI 設定檔控制項
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
相關資訊

關閉未使用的 Google 服務

Google 控制項 ID CI-CO-6.6
實作 選用
說明
一般來說,建議關閉不會使用的服務。
適用產品

Cloud Identity

路徑 http://admin.google.com > Apps > Additional Google Services
運算子 設定

False

相關的 NIST-800-53 控制項
  • SC-7
  • SC-8
相關的 CRI 設定檔控制項
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相關資訊

機構

本節提供組織政策服務和 Resource Manager 最佳做法和指南,適用於在 Cloud de Confiance by S3NS上執行工作負載的情況。

限制 Google API 支援的 TLS 版本

Google 控制項 ID COM-CO-1.1
實作 必填
說明

Cloud de Confiance 支援多個傳輸層安全標準 (TLS) 通訊協定版本。為符合法規要求,您可能會想拒絕使用舊版 TLS 的用戶端提出的交握要求。

如要設定這項控制項,請使用「限制 TLS 版本」 (gcp.restrictTLSVersion) 組織政策限制。您可以將這項限制套用至資源階層中的機構、資料夾或專案。「Restrict TLS Versions」(限制 TLS 版本) 限制條件會使用拒絕清單,拒絕明確值,並允許所有其他值。如果嘗試使用允許清單,就會發生錯誤。

由於組織政策階層評估的行為,TLS 版本限制會套用至指定的資源節點,以及該節點的所有資料夾和專案 (子項)。舉例來說,如果拒絕機構使用 TLS 1.0 版,該機構的所有子項也會一併拒絕。

如要覆寫沿用的 TLS 版本限制,請更新子項資源的機構政策。舉例來說,如果機構政策在機構層級禁止使用 TLS 1.0,您可以在子項資料夾中設定個別的機構政策,移除該資料夾的限制。如果資料夾有任何子項,由於政策繼承,資料夾的政策也會套用至每個子項資源。

如要進一步將 TLS 版本限制為僅限 TLS 1.3,您可以設定這項政策,同時限制 TLS 1.2 版。您必須在 Cloud de Confiance by S3NS內代管的應用程式中實作這項控制項。舉例來說,您可以在機構層級設定:

["TLS_VERSION_1","TLS_VERSION_1.1","TLS_VERSION_1.2"]

適用產品

全部;由機構政策服務管理

路徑 gcp.restrictTLSVersion
運算子 ==
  • TLS_VERSION_1
  • TLS_VERSION_1.1
類型 字串
Compliance Manager 控制項 ID RESTRICT_LEGACY_TLS_VERSIONS
相關的 NIST-800-53 控制項
  • SC-8
  • SC-13
相關的 CRI 設定檔控制項
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相關資訊

限制授權主體

Google 控制項 ID COM-CO-4.1
實作 必填
說明

確保只有貴機構的身分可存取 Cloud de Confiance by S3NS 環境。使用「網域限定共用」 (iam.allowedPolicyMemberDomains) 或 iam.managed.allowedPolicyMembers 組織政策限制,定義一或多個 Cloud Identity 或 Google Workspace 客戶 ID,只有這類客戶 ID 的主體能新增至 Identity and Access Management (IAM) 政策。

這些限制有助於防止員工將存取權授予貴機構控管範圍外的外部帳戶,這類帳戶可能不符合多重驗證 (MFA) 或密碼管理的安全政策。這項控管措施至關重要,可防止未經授權的存取行為,確保只有受信任的受管理公司身分可用。

適用產品
  • 組織政策服務
  • IAM
路徑 constraints/iam.allowedPolicyMemberDomains
運算子

CUSTOMER_ID,ORG_ID

類型 清單
相關的 NIST-800-53 控制項
  • AC-3
  • AC-17
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相關資訊

限制使用資源服務

Google 控制項 ID RM-CO-4.1
實作 必填
說明

gcp.restrictServiceUsage 限制條件可確保只有您核准的 Cloud de Confiance by S3NS 服務會用於適當位置。舉例來說,生產或高度機密資料夾的核准資料儲存服務清單很短。 Cloud de Confiance 沙箱資料夾可能會有較長的服務清單和相關的資料安全性控管措施,有助於防止資料外洩。這個值是您的系統專屬值,且與特定資料夾和專案的核准服務和依附元件清單相符。

貴機構可以透過這項限制條件建立核准服務的許可清單,防止員工使用未經審查的服務。

適用產品
  • 組織政策服務
  • Resource Manager
路徑 constraints/gcp.restrictServiceUsage
運算子
相關的 NIST-800-53 控制項
  • AC-3
  • AC-17
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相關資訊

限制資源位置

Google 控制項 ID RM-CO-4.2
實作 必填
說明

「資源位置限制」(gcp.resourceLocations) 限制可確保系統只會使用您核准的 Cloud de Confiance by S3NS 區域儲存資料。這個值是您的系統專用,且符合貴機構核准的資料落地區域清單。

這項限制條件可讓貴機構強制規定,資源和資料只能在特定核准的地理區域建立及儲存。

適用產品
  • 組織政策服務
  • Resource Manager
路徑 constraints/gcp.resourceLocations
運算子
相關的 NIST-800-53 控制項
  • AC-3
  • AC-17
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相關資訊

網路

本節提供虛擬私有雲 (VPC) 和 Cloud DNS 的最佳做法和指南,適用於在 Cloud de Confiance by S3NS上執行工作負載的情況。

封鎖預設網路的建立作業

Google 控制項 ID VPC-CO-6.1
實作 必填
說明

建立專案時,compute.skipDefaultNetworkCreation布林限制會略過預設網路和相關資源的建立作業 Cloud de Confiance by S3NS 。

預設網路為自動模式虛擬私有雲 (VPC) 網路,具有預先填入的 IPv4 防火牆規則,可允許內部通訊路徑。一般來說,這種設定不建議用於正式環境,因為安全性不夠。

適用產品
  • 組織政策服務
  • 虛擬私有雲 (VPC)
路徑 constraints/compute.skipDefaultNetworkCreation

True

類型 布林值
相關的 NIST-800-53 控制項
  • SC-7
  • SC-8
相關的 CRI 設定檔控制項
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相關資訊

啟用 DNS 安全性擴充功能

Google 控制項 ID DNS-CO-6.1
實作 必填
說明

網域名稱系統安全擴充功能 (DNSSEC) 是網域名稱系統 (DNS) 的一項功能,可驗證網域名稱查詢的回應。這項功能不會為這些查詢提供隱私保護服務,但可防止攻擊者操縱或汙染 DNS 要求的回應。

請在 Cloud DNS 的下列位置啟用 DNSSEC:

  • DNS 區域
  • 頂層網域 (TLD)
  • DNS 解析
適用產品

Cloud DNS

相關的 NIST-800-53 控制項
  • SC-7
  • SC-8
相關的 CRI 設定檔控制項
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相關資訊

啟用 Private Google Access

Google 控制項 ID GCVE-CO-1.5
實作 必填
說明

在所有子網路中啟用 Private Google Access。

啟用 Private Google Access 後,服務就能存取 Cloud de Confiance by S3NS 沒有外部 IP 位址的服務。根據預設,系統不會在新資源上啟用 Private Google Access,您必須採取額外步驟明確啟用這項功能。

適用產品

虛擬私有雲 (VPC)

相關的 NIST-800-53 控制項
  • SC-7
  • SC-8
  • SC-13
相關的 CRI 設定檔控制項
  • PR.AC-3.1
相關資訊

為服務供應商啟用私人服務存取權

Google 控制項 ID GCVE-CO-1.6
實作 必填
說明

啟用私人服務存取權,在 Cloud de Confiance by S3NS 服務 (例如 Google Cloud VMware Engine 舊版網路) 和服務供應商 (例如 Cloud SQL) 之間建立私人網路。私人服務存取權可避免工作負載網路連線不必要地暴露在網際網路上。

適用產品

虛擬私有雲 (VPC)

相關的 NIST-800-53 控制項
  • SC-7
  • SC-8
  • SC-13
相關的 CRI 設定檔控制項
  • PR.AC-3.1
相關資訊

除非必要,否則請停用 IPv6

實作 必填
說明

除非有特殊需求,否則請停用 IPv6 外部子網路建立作業。為縮小攻擊面,請考慮在未主動管理或不需要 IPv6 的系統和網路上停用 IPv6。許多機構都已建立成熟的 IPv4 安全控管和監控機制,但工具和政策可能無法完全涵蓋 IPv6,導致出現重大威脅盲點。執行雙重堆疊網路也會增加作業複雜度,需要特定設定和專業知識,才能有效管理及排解問題。因此,如果沒有明確的 IPv6 業務驅動因素,停用 IPv6 可簡化環境,並確保所有流量都持續透過已建立的 IPv4 安全防護措施進行篩選。

適用產品

Compute Engine

路徑 constraints/compute.disableVpcExternalIpv6
運算子

True

類型 布林值
相關的 NIST-800-53 控制項
  • CM-7
相關的 CRI 設定檔控制項
  • PR.PT-3.1
相關資訊

限制傳出流量

實作 必填
說明

限制存取外部來源,因為系統預設允許所有外部存取權。為需要輸出的預期流量模式設定特定防火牆規則。

根據預設,系統通常可以建立傳出連線至網際網路,這可能被視為安全風險。預設拒絕政策會封鎖輸出流量,且必須為已知必要目的地建立特定規則。

適用產品

Cloud Next Generation Firewall

路徑 cloudasset.assets/assetType
運算子 ==

compute.googleapis.com/Firewall

類型 字串
相關的 NIST-800-53 控制項
  • SC-7
相關的 CRI 設定檔控制項
  • PR.AC-3.1
相關資訊

限制對 SSH 和 RDP 連接埠的連入存取權

實作 必填
說明

盡可能只限制特定資源和資源範圍的連入存取權。如果已設定 Identity-Aware Proxy (IAP),請將輸入的 SSH 和遠端桌面協定 (RDP) 防火牆規則來源設為 IAP IP 範圍。

寬鬆的 SSH 和 RDP 防火牆規則會允許暴力攻擊。請改用 Cloud de Confiance by S3NS 身分識別感知 Proxy (例如 IAP) 進行 SSH 和 RDP。

適用產品

IAP

路徑 cloudasset.assets/assetType
運算子 ==

compute.googleapis.com/Firewall

類型 字串
相關的 NIST-800-53 控制項
  • SC-7
相關的 CRI 設定檔控制項
  • PR.AC-3.1
相關資訊

啟用 VPC Service Controls

實作 必填
說明

啟用 VPC Service Controls,做為額外防護層,防止資料遺失。

VPC Service Controls 可為雲端資源、機密資料和網路建立隔離 perimeter,防範資料竊取行為。

服務範圍會封鎖來自環境外部攻擊者控制端點的受限服務要求,因此即使憑證遭盜用,也無法發揮作用。

適用產品

VPC Service Controls

路徑 accesscontextmanager.accessPolicies.servicePerimeters/perimeterType
運算子 ==

PERIMETER_TYPE_REGULAR

類型 字串
相關的 NIST-800-53 控制項
  • SC-7
  • SC-8
相關的 CRI 設定檔控制項
  • PR.AC-3.1
相關資訊

使用 Cloud Armor 政策

實作 必填
說明

對於透過 Cloud Load Balancing 公開的應用程式,請使用 Google Cloud Armor 預設政策或自行設定政策,為對外應用程式或服務新增第 3 層至第 7 層的網路保護。Cloud Armor 安全性政策提供第 7 層篩選功能,有助於保護應用程式。這些政策也會審查傳入要求,找出常見的網路攻擊或其他第 7 層屬性,以便在流量抵達負載平衡後端服務或後端值區前,封鎖可疑流量。每項安全政策都由一組規則組成,包含第 3 層到第 7 層的屬性。

適用產品

Cloud Armor

路徑 compute.backendServices/securityPolicy
運算子 已設定
類型 字串
相關的 NIST-800-53 控制項
  • SC-7
相關的 CRI 設定檔控制項
  • PR.AC-3.1
相關資訊

在 Access Context Manager 存取權政策中啟用服務範圍限制

Google 控制項 ID COM-CO-8.1
實作 生成式 AI 用途建議
說明

在 Cloud de Confiance 控制台中,確認每個 service perimeter 的類型都設為一般。

適用產品
  • Access Context Manager
  • VPC Service Controls
路徑 accesscontextmanager.accessPolicies.servicePerimeters/perimeterType
運算子 ==

PERIMETER_TYPE_REGULAR

類型 字串
相關的 NIST-800-53 控制項
  • SC-7
  • SC-8
相關的 CRI 設定檔控制項
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相關資訊

在 VPC Service Controls 服務範圍內限制 API

Google 控制項 ID COM-CO-8.2
實作 生成式 AI 用途建議
說明

針對每個服務範圍,使用 Access Context Manager 確認範圍是否保護 API。

適用產品
  • VPC Service Controls
  • Access Context Manager
路徑 accesscontextmanager.accessPolicies.servicePerimeters/status.restrictedServices
運算子 Anyof
  • aiplatform.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • cloudasset.googleapis.com
  • cloudbuild.googleapis.com
  • cloudfunctions.googleapis.com
  • cloudresourcemanager.googleapis.com
  • containeranalysis.googleapis.com
  • discoveryengine.googleapis.com
  • dns.googleapis.com
  • notebooks.googleapis.com
  • ondemandscanning.googleapis.com
  • orgpolicy.googleapis.com
  • pubsub.googleapis.com
  • secretmanager.googleapis.com
  • storage.googleapis.com
  • visionai.googleapis.com
類型 字串
相關的 NIST-800-53 控制項
  • SC-7
  • SC-8
相關的 CRI 設定檔控制項
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相關資訊

使用可用區 DNS

Google 控制項 ID DNS-CO-4.1
實作 選用
說明

您可以透過 compute.setNewProjectDefaultToZonalDNSOnly 布林值限制,將新專案的內部 DNS 設定設為僅限區域性 DNS。請使用區域性 DNS,因為與個別區域相比,區域性 DNS 可隔離 DNS 註冊中的失敗,因此可靠性較高。

適用產品

組織政策

路徑 constraints/compute.setNewProjectDefaultToZonalDNSOnly
運算子 =

True

類型 布林值
相關的 NIST-800-53 控制項
  • AC-3
  • AC-17
  • AC-20
相關的 CRI 設定檔控制項
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
相關資訊

記錄、監控、快訊

本節提供記錄和稽核 Cloud de Confiance by S3NS 服務的最佳做法和指南,以及設定 Cloud Billing 等服務的快訊。

分享 Cloud Identity 的稽核記錄

Google 控制項 ID CI-CO-6.5
實作 必填
說明

如果使用 Cloud Identity,請將 Cloud Identity 的稽核記錄分享給 Cloud de Confiance by S3NS。

Google Workspace 或 Cloud Identity 的管理員活動稽核記錄通常是在 Google 管理控制台中管理及查看,與 Cloud de Confiance 環境中的記錄分開。這些記錄包含與 Cloud de Confiance 環境相關的資訊,例如使用者登入事件。

建議您將 Cloud Identity 稽核記錄分享至 Cloud de Confiance 環境,集中管理所有來源的記錄。

適用產品
  • Google Workspace
  • Cloud Logging
  • Cloud Identity
相關的 NIST-800-53 控制項
  • AC-2
  • AC-3
  • AC-8
  • AC-9
相關的 CRI 設定檔控制項
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
相關資訊

使用稽核記錄

Google 控制項 ID COM-CO-7.3
實作 必填
說明

Cloud de Confiance 服務會寫入稽核記錄項目,協助您瞭解 Cloud de Confiance 資源中「人事時地物」等問題。

在機構層級啟用稽核記錄。您可以使用設定 Cloud de Confiance 機構的管道設定記錄。

適用產品

Cloud 稽核記錄

相關的 NIST-800-53 控制項
  • AU-2
  • AU-3
  • AU-8
  • AU-9
相關的 CRI 設定檔控制項
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
相關資訊

啟用虛擬私有雲流量記錄

Google 控制項 ID COM-CO-7.4
實作 必填
說明

虛擬私有雲流量記錄會從 VM 執行個體收發的網路流量中取樣,並記錄下來,包括做為 Google Kubernetes Engine (GKE) 節點的執行個體。樣本通常是虛擬私有雲網路流量的 50% 以下。

啟用虛擬私有雲端流量記錄時,系統會對子網路中的所有 VM 啟用記錄功能。不過,您可以減少寫入記錄檔的資訊量。

為每個虛擬私有雲子網路啟用虛擬私有雲流量記錄。您可以使用建立專案的管道設定記錄功能。

適用產品

虛擬私有雲

相關的 NIST-800-53 控制項
  • AU-2
  • AU-3
  • AU-8
  • AU-9
相關的 CRI 設定檔控制項
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
相關資訊

啟用防火牆規則記錄

Google 控制項 ID COM-CO-7.5
實作 必填
說明

根據預設,防火牆規則不會自動寫入記錄。您可以根據防火牆規則記錄,進一步稽核、驗證及分析防火牆規則的成效。舉例來說,您可以判斷用於拒絕流量的防火牆規則是否正常運作。當您需要查明特定防火牆規則影響的連線數量時,這項記錄也能派上用場。

為每項防火牆規則啟用記錄功能。您可以使用建立防火牆的管道設定記錄。

適用產品

虛擬私有雲

相關的 NIST-800-53 控制項
  • AU-2
  • AU-3
  • AU-8
  • AU-9
相關的 CRI 設定檔控制項
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
相關資訊

啟用管理員活動稽核功能

Google 控制項 ID COM-CO-7.1
實作 必填
說明

根據預設, Cloud de Confiance 會啟用,且不允許任何人停用特殊權限帳戶的重要管理員活動稽核功能。

管理員活動稽核記錄的記錄項目涵蓋 API 呼叫,以及修改資源設定/中繼資料的其他動作。例如,這類記錄會記下使用者於何時建立 VM 執行個體或變更 IAM 權限。

管理員活動稽核記錄包含在機構、資料夾和專案層級建立、修改及刪除機構政策限制的記錄項目。

這類記錄一定會寫入,且無法設定、排除或停用。即使停用 Cloud Logging API,系統仍會產生管理員活動稽核記錄。

建議貴機構設定政策和程序來監控這些快訊,並根據企業存取政策產生動作或快訊,以監控管理員活動。

適用產品

Cloud 稽核記錄

相關的 NIST-800-53 控制項
  • AU-2
  • AU-3
  • AU-8
  • AU-9
相關的 CRI 設定檔控制項
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
相關資訊

訂閱安全性公告

Google 控制項 ID GKE-CO-1.8
實作 必填
說明

訂閱 Cloud de Confiance by S3NS 服務的安全性公告通知,即可接收有關安全漏洞和緩解措施的快訊。

如果出現與 Cloud de Confiance by S3NS 服務 (例如 GKE) 相關的安全性公告,服務可以將這些事件的通知,以訊息形式發布至您設定的 Pub/Sub 主題。您可以透過 Pub/Sub 訂閱項目接收這類通知、整合第三方服務,並篩選需要的通知類型。

適用產品

全部

相關的 NIST-800-53 控制項
  • SI-5
相關的 CRI 設定檔控制項
  • PR.IP-1.4
相關資訊

設定重要聯絡人群組

實作 必填
說明

設定重要聯絡人,確保受監控的群組別名或郵寄清單會收到重要通知。

Google 會將重大安全性警示 (例如帳戶可能遭盜用) 傳送至列為重要聯絡人的電子郵件地址。如果使用個人電子郵件地址,當該人員不在或已離職時,您就會錯過快訊。

使用受監控的群組電子郵件地址,有助於確保這些時效性高的快訊會傳送給能快速回應的團隊。

適用產品

Resource Manager

路徑 essentialcontacts.googleapis.com/Contact
運算子 已設定
類型 字串
相關的 NIST-800-53 控制項
  • IR-4
相關的 CRI 設定檔控制項
  • PR.IP-1.4
相關資訊

監控帳單異常狀況

實作 必填
說明

使用 Cloud Billing 中的帳單異常功能,追蹤預期支出是否有任何大幅增加或偏離的情況。

雲端帳單突然出現異常高額的費用,是安全防護遭到入侵的主要指標。有時,攻擊者會取得存取權,並將資源用於未經授權的活動,導致帳單費用突然暴增。

啟用帳單異常偵測功能後,系統會自動標記可疑活動,提供重要的早期預警系統。

適用產品

Cloud Billing

相關的 NIST-800-53 控制項
  • AU-6
相關的 CRI 設定檔控制項
  • DE.AE-1.1
相關資訊

將記錄匯出至記錄檔接收器,以便長期儲存

實作 必填
說明

建立記錄檔接收器,匯出記錄以供安全監控解決方案使用,並設定符合需求的保留期限。

預設的記錄保留期限通常不夠長,無法符合 PCI 或 HIPAA 等法規遵循規定要求的 1 到 7 年期限。

建立記錄接收器,將記錄匯出至長期儲存位置,是滿足特定法律和法規義務的必要做法。您也可以透過記錄接收器將記錄傳送至集中式安全監控系統,進行進階威脅偵測。

適用產品

Cloud Logging

路徑 logging.googleapis.com/LogSink/disabled
運算子

False

類型 布林值
相關的 NIST-800-53 控制項
  • AU-9
相關的 CRI 設定檔控制項
  • PR.DS-4.1
相關資訊

啟用資料存取稽核記錄

Google 控制項 ID COM-CO-7.2
實作 建議用於特定用途
說明

如要追蹤環境中 Cloud de Confiance by S3NS 的資料存取者,請啟用資料存取稽核記錄。這些記錄會記載讀取、建立或修改使用者資料的 API 呼叫,以及讀取資源設定的 API 呼叫。

強烈建議您為生成式 AI 模型和敏感資料啟用資料存取稽核記錄,確保可以稽核哪些人讀取資訊。如要使用資料存取稽核記錄,您必須為特定活動 (例如超級管理員登入) 設定自訂偵測邏輯。

資料存取稽核記錄的量可能很大。啟用「資料存取」記錄可能會導致專案產生額外的記錄使用費。 Cloud de Confiance

適用產品

Cloud 稽核記錄

相關的 NIST-800-53 控制項
  • AU-2
  • AU-3
  • AU-8
  • AU-9
相關的 CRI 設定檔控制項
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
相關資訊

設定帳單快訊

Google 控制項 ID CB-CO-6.1
實作 建議
說明

您可以設定 Cloud Billing 預算來集中監控所有的費用,以免產生意外支出。 Cloud de Confiance by S3NS 設定預算金額後,請為每個專案設定預算快訊門檻規則,用來觸發電子郵件通知。這些通知有助於追蹤支出與預算的比較情形。您也可以透過 Cloud Billing 預算自動採取控制成本的因應行動。

適用產品

Cloud Billing

相關的 NIST-800-53 控制項
  • SI-4
  • SI-5
相關的 CRI 設定檔控制項
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
  • ID.RA-1.1
  • ID.RA-2.1
  • ID.RA-3.1
  • ID.RA-3.2
  • ID.RA-3.3
相關資訊

啟用資料存取透明化控管機制記錄檔

Google 控制項 ID COM-CO-7.7
實作 選用
說明

標準記錄會顯示貴機構使用者執行的操作,而資料存取透明化控管機制記錄則會顯示 Google 支援人員存取帳戶時執行的操作。通常只有在您提出支援要求時,我們才會存取您的帳戶。「資料存取透明化控管機制」記錄提供所有存取作業的完整稽核追蹤記錄,可供驗證,有助於滿足嚴格的法規遵循和資料控管要求。

您可以在機構層級啟用資料存取透明化控管機制。

適用產品

資料存取透明化控管機制

相關的 NIST-800-53 控制項
  • AU-2
  • AU-3
  • AU-8
  • AU-9
相關的 CRI 設定檔控制項
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
相關資訊

匯出帳單資料以進行詳細分析

Google 控制項 ID CB-CO-6.2
實作 選用
說明

如要進一步分析帳單,您可以將帳單資料匯出至 BigQuery 或 JSON 檔案。 Cloud de Confiance by S3NS 舉例來說,您可以將整天的詳細資料 (例如用量、預估費用和定價) 自動匯出至指定的 BigQuery 資料集。接著,您就能在 BigQuery 中存取 Cloud Billing 資料來執行詳細的數據分析,或是透過「數據分析」等工具以圖表呈現資料。

適用產品
  • BigQuery 資料移轉服務
  • BigQuery
  • Cloud Billing
相關的 NIST-800-53 控制項
  • SI-4
  • SI-5
相關的 CRI 設定檔控制項
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
  • ID.RA-1.1
  • ID.RA-2.1
  • ID.RA-3.1
  • ID.RA-3.2
  • ID.RA-3.3
相關資訊

金鑰和密鑰管理

本節提供 Cloud Key Management Service 和 Secret Manager 的最佳做法和指南,適用於在Cloud de Confiance by S3NS上執行工作負載的情況。

加密 Cloud de Confiance中的靜態資料

Google 控制項 ID COM-CO-2.1
實作 必要 (預設)
說明

根據預設, Cloud de Confiance 中的所有資料都會使用 NIST 核准的演算法進行靜態加密。

適用產品

Cloud de Confiance 預設

相關的 NIST-800-53 控制項
  • SC-28
相關的 CRI 設定檔控制項
  • PR.DS-1.1
  • PR.DS-1.2
相關資訊

使用 NIST 核准的演算法進行加密和解密

Google 控制項 ID COM-CO-2.4
實作 必填
說明

請確保 Cloud Key Management Service (Cloud KMS) 只使用 NIST 核准的演算法,在環境中儲存機密金鑰。這項控制項只會使用 NIST 核准的演算法和安全性,確保金鑰安全無虞。CryptoKeyVersionAlgorithm 欄位是提供的許可清單。

移除不符合貴機構政策的演算法。

適用產品

Cloud KMS

路徑 cloudkms.projects.locations.keyRings.cryptoKeys/versionTemplate.algorithm
運算子
  • RSA_SIGN_PSS_2048_SHA256
  • RSA_SIGN_PSS_3072_SHA256
  • RSA_SIGN_PSS_4096_SHA256
  • RSA_DECRYPT_OAEP_2048_SHA256
  • RSA_DECRYPT_OAEP_4096_SHA256
  • RSA_DECRYPT_OAEP_2048_SHA1
  • RSA_DECRYPT_OAEP_4096_SHA1
類型 字串
相關的 NIST-800-53 控制項
  • SC-12
  • SC-13
相關的 CRI 設定檔控制項
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相關資訊

設定 Cloud KMS 金鑰的用途

Google 控制項 ID COM-CO-2.5
實作 必填
說明

將 Cloud KMS 金鑰的用途設為 ENCRYPT_DECRYPT,確保金鑰只用於加密及解密資料。這項控制項會封鎖其他函式 (例如簽署),並確保金鑰只會用於預期用途。如果您將金鑰用於其他功能,請驗證這些用途,並考慮建立其他金鑰。

適用產品

Cloud KMS

路徑 cloudkms.projects.locations.keyRings.cryptoKeys/purpose
運算子 ==

ENCRYPT_DECRYPT

類型 字串
相關的 NIST-800-53 控制項
  • SC-12
  • SC-13
相關的 CRI 設定檔控制項
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相關資訊

確保 CMEK 設定適用於安全的 BigQuery 資料倉儲

Google 控制項 ID COM-CO-2.6
實作 必填
說明

防護等級會指示執行加密編譯作業的方式。建立客戶管理的加密金鑰 (CMEK) 後,就無法變更防護等級。支援的保護等級如下:

  • SOFTWARE:加密編譯作業會在軟體中執行。
  • HSM:加密編譯作業會在硬體安全性模組 (HSM) 中執行。
  • 外部:加密編譯作業會使用儲存在外部金鑰管理工具中的金鑰執行,該工具透過網際網路連線至 Cloud de Confiance 。僅限對稱式加密和非對稱式簽署。
  • EXTERNAL_VPC:加密編譯作業會使用儲存在外部金鑰管理工具中的金鑰執行,該工具透過虛擬私有雲 (VPC) 網路連線。 Cloud de Confiance 僅限對稱式加密和非對稱式簽署。
適用產品
  • Cloud KMS
  • BigQuery
路徑 cloudkms.projects.locations.keyRings.cryptoKeys/primary.protectionLevel
運算子

[]

類型 字串
相關的 NIST-800-53 控制項
  • SC-12
  • SC-13
相關的 CRI 設定檔控制項
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相關資訊

每 90 天輪替一次加密金鑰

Google 控制項 ID COM-CO-2.7
實作 必填
說明

請確保 Cloud KMS 金鑰的輪替週期設為 90 天。一般最佳做法是定期輪替安全金鑰。這項控制項會強制輪替使用 HSM 服務建立的金鑰。

建立輪替週期時,請一併建立適當的政策和程序,安全地處理金鑰材料的建立、刪除和修改作業,以協助保護資訊並確保可用性。請確保這段時間符合貴公司的金鑰輪替政策。

適用產品

Cloud KMS

路徑 cloudkms.projects.locations.keyRings.cryptoKeys/rotationPeriod
運算子 <=

90

類型 int32
相關的 NIST-800-53 控制項
  • SC-12
  • SC-13
相關的 CRI 設定檔控制項
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相關資訊

設定自動 Secret 輪換

Google 控制項 ID SM-CO-6.2
實作 必填
說明
自動輪換 Secret,並在遭到入侵時提供緊急輪換程序。
適用產品

Secret Manager

相關的 NIST-800-53 控制項
  • SC-12
  • SC-13
相關的 CRI 設定檔控制項
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相關資訊

建立受管理加密策略

實作 必填
說明

使用 Cloud Key Management Service (Cloud KMS) 和 Autokey、Cloud External Key Manager (Cloud EKM) 或兩者,建立加密管理策略。這項策略可讓貴機構使用及管理自己的加密金鑰,以符合特定需求。使用自己的加密金鑰可精細控管資料存取權,並進行稽核,包括停用金鑰來立即封鎖資料存取權。

適用產品
  • Cloud KMS
  • Cloud EKM
相關的 NIST-800-53 控制項
  • SC-12
相關的 CRI 設定檔控制項
  • PR.DS-1.1
相關資訊

使用 CMEK 保護 Pub/Sub 訊息

Google 控制項 ID PS-CO-6.1
實作 建議
說明
為 Pub/Sub 啟用客戶自行管理的加密金鑰 (CMEK) 後,您就能進一步控管 Pub/Sub 用於保護訊息的加密金鑰。在應用程式層,Pub/Sub 會在收到訊息時加密個別訊息。Pub/Sub 會先使用為主題產生的最新資料加密金鑰 (DEK) 加密訊息,再將訊息發布至訂閱項目。Pub/Sub 會在訊息傳送給訂閱端不久前解密訊息。Pub/Sub 會使用 Cloud de Confiance by S3NS 服務帳戶存取 Cloud Key Management Service。Pub/Sub 是在內部為每個專案維護服務帳戶,因此這些帳戶不會顯示在服務帳戶清單中。
適用產品
  • Cloud KMS
  • Pub/Sub
相關的 NIST-800-53 控制項
  • SC-12
  • SC-13
相關的 CRI 設定檔控制項
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相關資訊

限制客戶自行管理的加密金鑰位置

Google 控制項 ID COM-CO-2.2
實作 建議
說明

使用「限制哪些專案可提供 CMEK 的 KMS CryptoKey」(gcp.restrictCmekCryptoKeyProjects) 組織政策限制,定義哪些專案可儲存客戶自行管理的加密金鑰 (CMEK)。這項限制條件可讓您集中管理加密金鑰的控管作業。如果所選金鑰不符合這項限制,資源建立作業就會失敗。

如要修改這項限制,管理員必須具備「機構政策管理員」 (roles/orgpolicy.policyAdmin) IAM 角色。

如要新增第二層防護 (例如自備金鑰),請變更這項限制,代表已啟用的 CMEK 金鑰名稱。

產品特定項目:

  • 在 Gemini Enterprise Agent Platform 中,您會將金鑰儲存在「KEY PROJECTS」專案中。
適用產品
  • Cloud KMS
  • 機構政策
路徑 constraints/gcp.restrictCmekCryptoKeyProjects
運算子 notexists

KEY PROJECTS

類型 字串
相關的 NIST-800-53 控制項
  • SC-12
  • SC-13
相關的 CRI 設定檔控制項
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相關資訊

為 Cloud de Confiance 服務使用 CMEK

Google 控制項 ID COM-CO-2.3
實作 建議
說明

如果您需要比 Google Cloud-powered encryption keys 允許的範圍更大的金鑰作業控制權,可以使用客戶自行管理的加密金鑰 (CMEK)。這些金鑰是使用 Cloud KMS 建立及管理。將金鑰儲存為軟體金鑰、儲存在 HSM 叢集內,或儲存在外部金鑰管理系統中。

Cloud KMS 加密和解密速率會受到配額限制。

Cloud Storage 具體做法

在 Cloud Storage 中,您可以對個別物件使用 CMEK,也可以將 Cloud Storage 值區設為預設對所有新增至值區的物件使用 CMEK。使用 CMEK 時,Cloud Storage 會在物件儲存至值區時,以金鑰加密物件,並在將物件提供給要求者時自動解密。

將 CMEK 與 Cloud Storage 搭配使用時有以下限制:

  • 您無法透過更新物件的中繼資料,使用 CMEK 將物件加密。請改將金鑰加入物件重寫的一部分。
  • Cloud Storage 會使用物件更新指令在物件上設定加密金鑰,但該指令會在要求中重寫物件。
  • 您建立 Cloud KMS 金鑰環的位置必須與待加密資料的位置相同。舉例來說,如果您的值區位於 us-east1,那麼您也必須在 us-east1 中建立這個值區中的所有金鑰環加密物件。
  • 在大多數雙區域中,您必須在相關聯的多區域建立 Cloud KMS 金鑰環。舉例來說,如果值區位於 us-east1us-west1 這一對區域中,則用於加密該值區中物件的任何金鑰環,都必須在美國多區域中建立。
  • 如果是 asia1eur4nam4 預先定義的雙重區域,您必須在相同的預先定義雙重區域中建立金鑰環。
  • 使用 JSON API 列出物件時,系統不會傳回以 CMEK 加密的物件的 CRC32C 總和檢查碼和 MD5 雜湊。
  • 使用 Cloud Storage 等工具對每個加密物件執行額外的中繼資料 GET 要求,以擷取 CRC32C 和 MD5 資訊,可大幅縮短清單。Cloud Storage 無法使用儲存在 Cloud KMS 中的非對稱金鑰解密部分,自動解密相關物件,這與 CMEK 的做法不同。
適用產品
  • Cloud KMS
  • 機構政策
  • Cloud Storage
路徑 constraints/gcp.restrictNonCmekServices
運算子 ==
  • bigquery.googleapis.com
  • storage.googleapis.com
  • aiplatform.googleapis.com
類型 字串
相關的 NIST-800-53 控制項
  • SC-12
  • SC-13
相關的 CRI 設定檔控制項
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相關資訊

自動複製 Secret

Google 控制項 ID SM-CO-6.1
實作 建議
說明
除非工作負載有特定地點規定,否則請選擇自動複製政策來複製 Secret。自動政策可滿足大多數工作負載的可用性和效能需求。如果工作負載有特定地點規定,您可以在建立 Secret 時,使用 API 選取複製政策的位置。
適用產品

Secret Manager

相關的 NIST-800-53 控制項
  • SC-12
  • SC-13
相關的 CRI 設定檔控制項
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
相關資訊

安全防護機制和分析

本文提供 Security Command Center 最佳做法和指南,適用於在 Cloud de Confiance by S3NS上執行工作負載的情況。

在組織層級啟用 Security Command Center

Google 控制項 ID SCC-CO-6.1
實作 必填
說明
在組織層級啟用 Security Command Center,以免產生額外設定。如果不想使用 Security Command Center,請啟用其他資安態勢管理解決方案。
適用產品

Security Command Center

相關的 NIST-800-53 控制項
  • SI-4
  • SI-5
相關的 CRI 設定檔控制項
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
  • ID.RA-1.1
  • ID.RA-2.1
  • ID.RA-3.1
  • ID.RA-3.2
  • ID.RA-3.3
相關資訊

透過 Security Command Center 設定警告

Google 控制項 ID SCC-CO-7.1
實作 建議
說明
您可以透過 Security Command Center 的警告掌握貴組織的狀況,並在 Cloud de Confiance by S3NS 服務發生問題時收到通知,以便採取適當行動。您可以在 Cloud Logging 中設定警告,接收與 Security Command Center 服務代理 (service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com) 相關的錯誤通知。
適用產品
  • Security Command Center
  • Logging
相關的 NIST-800-53 控制項
  • AU-2
  • AU-3
  • AU-8
  • AU-9
相關的 CRI 設定檔控制項
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
相關資訊

後續步驟