实现零信任

Google Cloud 良好架构框架安全支柱中的这一原则有助于您确保云工作负载的全面安全。零信任原则强调以下做法：

• 消除隐式信任
• 将最小权限原则应用于访问控制
• 强制对所有访问请求进行显式验证
• 采用假定数据泄露的思维方式，实现持续验证和安全状况监控

原则概览

零信任模型将安全重点从基于边界的安全措施转移到了一种方法，即不认为任何用户或设备天生可信。相反，无论访问请求的来源如何，都必须进行验证。此方法涉及对每位用户和设备进行身份验证和授权、验证其上下文（位置信息和设备状态），并仅授予对必要资源的最小权限访问权限。

通过实施零信任模型，您的组织可以最大限度地降低潜在数据泄露的影响，并保护敏感数据和应用免遭未经授权的访问，从而改善安全状况。零信任模型可帮助您确保云端数据和资源的机密性、完整性和可用性。

建议

如需为云工作负载实现零信任模型，请考虑以下部分中的建议：

• 保护您的网络
• 明确验证每次访问尝试
• 监控和维护网络

保护您的网络

此建议与以下重点领域相关：基础架构安全。

从传统的基于边界的安全措施过渡到零信任模型需要完成多个步骤。贵组织可能已经将某些零信任控制措施集成到其安全状况中。不过，零信任模型并非单一的产品或解决方案。而是多种安全层和最佳实践的全面集成。本部分介绍了为网络安全实现零信任的建议和方法。

• 访问控制：使用 Chrome Enterprise 进阶版和 Identity-Aware Proxy (IAP) 等解决方案，根据用户身份和情境强制执行访问控制。这样一来，您就可以将安全性从网络边界转移到各个用户和设备。这种方法支持精细的访问权限控制，并缩小了攻击面。
• 网络安全：保护本地环境、 Google Cloud环境和多云环境之间的网络连接。
  • 使用 Cloud Interconnect 和 IPsec VPN 中的专用连接方法。
  • 为帮助确保对 Google Cloud 服务和 API 的安全访问，请使用 Private Service Connect。
  • 为帮助保护来自部署在 GKE Enterprise 上的工作负载的传出访问，请使用 Cloud Service Mesh 出站流量网关。
• 网络设计：通过删除现有项目中的默认网络并禁止在新项目中创建默认网络，防止潜在的安全风险。
  • 为避免冲突，请仔细规划网络和 IP 地址分配。
  • 为强制执行有效的访问权限控制，请限制每个项目的虚拟私有云 (VPC) 网络数量。
• 分段：隔离工作负载，但保持集中式网络管理。
  • 如需对网络进行细分，请使用共享 VPC。
  • 在组织、文件夹和 VPC 网络级别定义防火墙政策和规则。
  • 如需防止数据渗漏，请使用 VPC Service Controls 在敏感数据和服务周围建立安全边界。
• 边界安全：防范 DDoS 攻击和 Web 应用威胁。
  • 如需防范威胁，请使用 Google Cloud Armor。
  • 配置安全政策，以允许、拒绝或重定向Google Cloud 边缘的流量。
• 自动化：通过采用基础架构即代码 (IaC) 原则并使用 Terraform、Jenkins 和 Cloud Build 等工具，实现基础架构预配自动化。IaC 有助于确保安全配置一致、简化部署，并在出现问题时快速回滚。
• 安全基础：使用企业基础蓝图建立安全的应用环境。此蓝图提供了规范性指导和自动化脚本，可帮助您实现安全最佳实践并安全地配置Google Cloud 资源。

明确验证每次访问尝试

此建议与以下重点领域相关：

• 身份和访问权限管理
• 安全运维 (SecOps)
• 日志记录、审核和监控

针对尝试访问您的云资源的任何用户、设备或服务，实施强大的身份验证和授权机制。请勿依赖位置或网络边界作为安全控制措施。不要自动信任任何用户、设备或服务，即使它们已位于网络内也是如此。相反，系统必须对每次尝试访问资源的操作进行严格的身份验证和授权。您必须实施强大的身份验证措施，例如多重身份验证 (MFA)。您还必须确保访问权限决策基于考虑用户角色、设备折叠状态和位置等各种情境因素的精细政策。

如需实施此建议，请使用以下方法、工具和技术：

• 统一身份管理：使用单个身份提供方 (IdP) 确保在整个组织中实现一致的身份管理。
  • Google Cloud 支持与大多数 IdP（包括本地 Active Directory）联合。借助联合，您可以将现有的身份管理基础架构扩展到 Google Cloud ，并为用户启用单点登录 (SSO)。
  • 如果您没有现有的 IdP，不妨考虑使用 Cloud Identity 专业版或 Google Workspace。
• 服务账号权限受限：谨慎使用服务账号，并遵循最小权限原则。
  • 仅向每个服务账号授予执行其指定任务所需的必要权限。
  • 针对在 Google Kubernetes Engine (GKE) 上运行或在Google Cloud 之外运行的应用使用 Workload Identity Federation，以安全地访问资源。
• 健全的流程：更新您的身份流程，使其符合云安全最佳实践。
  • 为帮助确保遵守法规要求，请实施身份治理，以跟踪访问权限、风险和违反政策的行为。
  • 查看并更新您现有的授予和审核访问权限控制角色和权限的流程。
• 强制身份验证：为用户身份验证实现 SSO，并为特权账号实现 MFA。
  • Google Cloud 支持多种多重身份验证 (MFA) 方法，包括 Titan 安全密钥，以增强安全性。
  • 对于工作负载身份验证，请使用 OAuth 2.0 或已签名的 JSON Web 令牌 (JWT)。
• 最小权限：通过强制执行最小权限和职责分离原则，最大限度地降低未经授权的访问和数据泄露风险。
  • 避免过度配置用户访问权限。
  • 考虑为敏感操作实现即时特权访问权限。
• Logging：为管理员活动和数据访问活动启用审核日志记录。
  • 如需进行分析和威胁检测，请使用 Security Command Center Enterprise 或 Google Security Operations 扫描日志。
  • 配置适当的日志保留政策，以便在安全需求和存储费用之间取得平衡。

监控和维护网络

此建议与以下重点领域相关：

• 日志记录、审核和监控
• 应用安全
• 安全运维 (SecOps)
• 基础架构安全

在规划和实施安全措施时，请假设攻击者已进入您的环境。这种主动方法涉及使用以下多种工具和技术来了解网络：

• 集中式日志记录和监控：通过集中式日志记录和监控功能，收集和分析来自所有云资源的安全日志。

  • 为正常网络行为建立基准、检测异常情况并识别潜在威胁。
  • 持续分析网络流量，以识别可疑模式和潜在攻击。

• 深入了解网络性能和安全性：使用 Network Analyzer 等工具。监控流量，检查是否存在异常协议、意外连接或数据传输突然激增的情况，这可能表明存在恶意活动。

• 漏洞扫描和修复：定期扫描您的网络和应用是否存在漏洞。

  • 使用 Web Security Scanner，该工具可自动识别 Compute Engine 实例、容器和 GKE 集群中的漏洞。
  • 根据漏洞的严重程度及其对系统的潜在影响确定补救优先级。

• 入侵检测：使用 Cloud IDS 和 Cloud NGFW 入侵防御服务监控网络流量是否存在恶意活动，并自动屏蔽可疑事件或针对可疑事件发出提醒。

• 安全分析：考虑实施 Google SecOps，以关联来自不同来源的安全事件、对安全提醒进行实时分析，并简化突发事件响应。

• 配置一致：使用配置管理工具确保整个网络具有一致的安全配置。