安全基础蓝图

本指南从专业的角度介绍了 Google Cloud 安全防护最佳做法,这些做法经过精心整理,使用户能够进行采用或调整,然后在 Google Cloud 上为其资产自动部署它们。如果您是首席信息安全官 (CISO)、安全从业人员、风险或合规专员,那么本文档将非常有用。

云采用在企业中继续加速,有越来越多的企业正在从调查公有云基础架构的使用转变为实际通过公有云为客户提供生产服务。通常,公有云中的安全性与客户拥有的基础架构在本质上是不同的,因为客户与云服务提供商之间共同承担安全责任。图 1.1.1 显示了云端工作负载的传统共担安全责任矩阵。

图 1.1.1 共担安全责任

图 1.1.1 共担安全责任

Google Cloud 产品和服务范围广泛,从传统的平台即服务 (PaaS) 到基础架构即服务 (IaaS),再到软件即服务 (SaaS) 应有尽有。如图 1.1.1 所示,您与云服务提供商之间的传统责任边界因您选择的服务而异。作为共担安全责任的一部分,公有云服务提供商应至少让您能够从坚实、安全的基础开始。然后,这些服务提供商应授权并使您能够轻松了解和履行您在共担责任模式中负责的那部分。

Google Cloud 产品目录在不断快速扩充。每项 Google Cloud 服务都提供各种配置和措施措施,让您可以根据自己的业务和安全需求对其进行自定义。在创建和设置您的核心基础架构时,我们的目标是在这份专业安全基础蓝图中默认编码重要的 Google Cloud 安全防护最佳做法,帮助您更快、更安全地开启工作。然后,您可以在可靠、安全的基础上进行构建,优化控制措施或利用状态蓝图中的其他服务专属安全指导。

在 Google 最近的风险防护计划公告中,我们力求做得更多,从客户与云服务提供商之间的传统共担责任模式转变为命运共同体。通过这种方法,我们积极与您合作,在我们的平台上安全地进行部署,而不仅仅止于我们的责任结束的地方。

一开始就考虑到安全性

由于下列各要素,云安全性与本地安全性有所不同:

  • 基础架构、产品和服务中安全原语、可见性和控制点方面的差异。
  • 新的云原生开发方法,例如容器化和 DevSecOps。
  • 新的云产品和服务的持续发展和多样性及其使用方式。
  • 在组织如何部署、管理和操作系统方面的文化转变。
  • 了解客户和云服务提供商之间的风险,并由两者分摊风险。

在设置 Cloud 部署时,您需要做出许多决策。您可能需要帮助来简单、快速、高效地部署具有安全默认设置的工作负载,以便能够更快地向客户提供业务影响和价值。但是,您可能没有时间培养必要的技能来应对云转换所带来的差异和新的挑战。因此,您通常可从精选和专业指导中获益,了解安全基础的入门操作并了解如何自定义来匹配您的特定需求。

好消息是,您可使用这些安全蓝图在 Google Cloud 上更快速、更高效、更安全地进行构建,这会在 Google Cloud 上的安全层次结构中增添一组新的重要的层。总的来说,现在有 5 个主要部分,从核心 Google Cloud 基础架构为基础。后面的 4 个层是 Google Cloud 产品和服务,安全基础蓝图,安全状况、工作负载和应用的蓝图,最后是解决方案,它们将产品、服务和蓝图与用例示例、客户参考以及商业优惠捆绑在一起,来简化您的了解、采用和使用过程。每个层都构建在前几层的基础上,如下所述。

核心 Google Cloud 基础架构

Google 拥有全球规模的技术基础架构,它旨在让 Google 能够在整个信息处理周期提供安全保障。通过该基础架构,可安全地部署服务、在保护最终用户隐私的情况下安全地存储数据、在服务之间安全通信、通过互联网安全而私密地与客户进行沟通,还可使管理员安全地进行操作。

Google 产品和服务

Google Cloud 产品和服务构建在核心基础架构之上,基于我们的 BeyondProd 白皮书中分享的云原生安全性原则始终如一地进行设计和操作。它们具有内置的安全功能,可实现访问权限控制、分段和数据保护。此外,Google Cloud 还构建了特定的安全产品,帮助您满足政策要求,并使用我们的安全产品和功能保护您的关键资产。

安全基础蓝图

此安全基础蓝图旨在向您提供精选专业指导和配套自动化功能,帮助您优化原生控件和服务,为 Google Cloud 部署打造安全的起点。此安全基础蓝图涵盖以下内容:

  • Google Cloud 组织结构和政策
  • 身份验证和授权
  • 资源层次结构和部署
  • 网络(分段和安全性)
  • 密钥和 Secret 管理
  • 日志记录
  • 检测控制措施
  • 结算设置
  • 创建和部署安全应用
  • 常规安全指南

安全状况、工作负载和应用蓝图

强大的安全基础之上,我们提供了有关安全状况、工作负载和应用的附加蓝图,为您提供精选专业指导来帮助您设计、构建和运行工作负载和应用 - 例如,我们的 PCI on GKE 蓝图

解决方案

通过整合了 Google Cloud 安全防护最佳做法的产品和蓝图的组合,您可在配置、部署和操作特定服务集方面获得相关功能、架构和指导。解决方案将这些产品与类别和使用场景特定的自定义、其他示例、客户参考以及捆绑的商业优惠打包在一起。我们的目标是让您能够更简单、更快地采用和应用适合您组织的业务需求的解决方案。您可以在 Google Cloud 解决方案页面上找到我们当前的解决方案产品组合。

图 1.1.2 显示了您在使用 Google Cloud 和按照安全蓝图提供的指导和模板操作时可依照构建的安全防护层。

图 1.1.2 Google Cloud 安全层次结构

图 1.1.2 Google Cloud 安全层次结构

从安全基础蓝图开始

本指南提供了我们的专业安全基础蓝图,并分步展示了如何配置和部署 Google Cloud 资产。本文档提供了良好的参考和起点,因为我们重点介绍了需要考虑的关键主题。在每个主题中,我们都会就我们为何做出每种选择提供背景信息和讨论。除了分步指南外,此安全基础蓝图还随附一个 Terraform 自动化代码库和一个 Google 演示组织示例,以便您从根据蓝图配置的环境中学到知识并对其进行实验。

如何使用安全基础蓝图

当您在组织中担任下面一个或多个角色时,会发现本指南非常有用:

  • 安全领导者,需要了解 Google 的 Cloud 安全性关键原则,知道可如何应用和实施这些原则来保护您自身组织的部署。
  • 安全从业人员,需要有详细说明介绍如何应用安全防护最佳做法来设置、配置、部署和操作以安全为中心的基础架构着陆区,该着陆区已准备就绪,您可将工作负载和应用部署到其中。
  • 安全工程师,需要了解如何配置和操作多个不同的安全控制措施,以便彼此正确交互。
  • 业务领导者,需要您的团队加速学习并了解他们在 Google Cloud 上满足您的高级需求而所需具备的高级技能。在此角色中,您还需要能够与您的风险和合规性团队分享 Google 安全参考文档。
  • 风险和合规专员,需要了解 Google Cloud 上提供的控制措施来满足其业务需求,并需要了解如何自动部署这些控制措施。您还需要清晰了解与控制措施之间的偏差,以及为了满足您业务的监管需求而需要特别注意的方面。

在上述每种情况下,您都可以使用本文档作为参考指南。您还可以使用提供的 Terraform 脚本来自动执行、实验、测试并加快您自己的实时部署。您可以修改提供的脚本,根据需要进行自定义。

打造更好的起点来满足合规性

对于您的业务所需的合规和监管框架,您需要明确了解和证明下列各项:

  • 您选择的 Google Cloud 服务是否满足要求。
  • 您对这些 Google Cloud 服务的配置和使用是否持续满足要求。

对于第一种情况,Google Cloud 提供了合规性资源中心。在此网站,您可按框架、区域或行业进行搜索,查找哪些 Google Cloud 服务获得批准并帮助您满足合规性要求。

对于第二种情况,在部署安全基础蓝图后,Security Command Center 高级方案提供了信息中心概览和可下载的合规性报告,帮助您在组织、文件夹或项目级层了解 CIS 1.0、PCI-DSS 3.2.1、NIST-800-53 和 ISO27001 框架的初始状况。

图 1.2.1 显示了安全基础蓝图中部署的示例项目与 CIS 1.0 和 PCI DSS 3.2.1 框架对比的默认合规性报告。如图所示,大多数经过评估的合规性控制措施根据蓝图进行了配置,现成可用。缺少的控制措施是指需要用户输入才能正确设置的日志配置配置措施。

图 1.2.1 受限网络示例项目的 Security Command Center 高级方案合规性摘要

图 1.2.1 受限网络示例项目的 Security Command Center 高级方案合规性摘要

实施关键安全原则

除了实施合规性和监管要求之外,您还需要保护基础架构和应用。

安全基础蓝图和关联的自动化脚本可帮助您采用三个 Google Cloud 安全原则,这些原则是 Google 自有的安全性的核心。它们是:

  • 默认执行大规模深度防御
  • 采用 BeyondProd 方法实现基础架构和应用安全保障。
  • 通过转变为命运共同体关系,降低云采用风险。

默认大规模深度防御

Google 保护自身基础架构的核心原则是,在攻击者与攻击目标之间永远不应该只有一层防御(深度防御)。根据这一核心原则,安全保障应该能够扩缩,并且应该默认启用。

安全基础蓝图通过多种方式实现这些原则。默认情况下,使用跨网络、加密、IAM、检测、日志记录和监控服务配置的政策和控制措施,通过多层防御来保护数据。

例如,在默认情况下,生产项目中的数据有三个级层的网络保护:VPC 分段、VPC 服务边界和防火墙规则。使用 IAM、访问上下文级别和用户身份的多重验证,通过多层访问权限保护来进一步保护了这些数据。

此蓝图提供了一个安全 CI/CD 流水线示例,它用于构建有权访问数据的应用;流水线的安全功能包括构建时漏洞评估和部署时政策检查。此外,数据本身通过客户管理的加密密钥 (CMEK) 进行保护。所有管理员访问和数据访问均可使用默认审核日志记录功能进行记录。Security Command Center 高级方案提供持续的安全监控和检测。此外,您还可以通过 BigQuery 使用自定义检测进行补充。

BeyondProd

2019 年,我们发布了 BeyondProd,这是 Google 用来实现原生云安全性的新方法。促使它的数据洞见也驱使我们在 2014 年开展 BeyondCorp 工作,因为我们当时已经明白,基于边界的安全模型并不足够安全。BeyondProd 为工作负载和服务身份执行的操作正是 BeyondCorp 为工作站和用户执行的操作。在传统的以网络为中心的模型中,攻击者一旦突破了边界,就可以在系统中自由移动。相反,BeyondProd 方法默认使用零信任模型。它将过去的大型单体式应用分解为微服务,从而提高了分段和隔离功能并限制了受影响的区域,同时还提高了操作效率和可伸缩性。

BeyondProd 中的核心概念是,开发者应该能够编写和部署安全应用,而无需具备丰富的安全专业知识,也无需自行实现安全功能。因此,BeyondProd 的主要原则是:

  • 安全保障是全面的、内置的,不是后面扩充的。
  • 虽然仍然需要在边缘保护网络,但它不是唯一的防御点。
  • 服务之间没有固有的相互信任。
  • 受信任的机器运行具有已知出处的代码。
  • 逻辑关卡用于跨服务强制执行一致政策;例如,用于确保已获授权的数据访问。
  • 变更发布过程简单、自动化且标准化。
  • 隔离将在工作负载之间强制实施和受到监控。

通过安全基础蓝图,您能够快速采用 BeyondProd。蓝图架构和部署的每个步骤都设计和集成了安全控制措施。根据设计,不同层的安全控制措施会协同工作,不是事后补救措施。系统中的服务之间没有固有的相互信任。预定义的 IAM 角色会创建默认的职责分离。默认情况下,资源层次结构设计会在项目之间创建清晰的 IAM 和网络边界。借助 VPC 服务边界,您可以按服务和工作负载强制执行分段和隔离。通过组织政策等逻辑控制关卡,您可在创建时和部署时强制实施一致默认预防性政策。通过 Security Command Center 高级方案将可见性集中和统一起来,让您能够以统一的方式监控和检测组织中的所有资源和项目。

如需详细了解 Google Cloud 功能如何映射到 BeyondProd 原则,可查看“创建和部署应用”部分中的表 2.12.5

命运共同体

为了从共担责任转变为命运共同体,我们坚信我们有责任与您积极合作,共同在我们的平台上安全地部署和运行。这意味着在您的第 0 天到第 N 天旅程中提供全面的集成功能,如下所示:

  • 设计和构建时:受支持的安全基础和状态蓝图,针对您的基础架构和应用默认编码了最佳做法。
  • 部署时:通过组织政策和 Assured Workloads 等服务进行“保护”,这些服务会强制执行声明式安全限制条件。
  • 运行时:通过 Security Command Center 高级方案等服务提供可见性、监控、提醒和纠正操作功能。

这些集成服务相辅相成,可助您起步并保持在更值得信赖,风险更加量化且更容易理解的状态中,从而降低风险。如图 1.2.2 所示,改进后的这种风险状况有助于您充分利用风险防护服务,从而降低风险并最终让您能够更快在云端进行迁移和转换。

图 1.2.2 命运共同体的价值

图 1.2.2 命运共同体的价值

文档整理

本文档的其余部分被整理成涵盖以下内容的各部分:

  • 本简介
  • 基础安全模型
  • 基础设计
  • 表示固有组织结构的 example.com 示例
  • 资源部署
  • 身份验证和授权
  • 网络
  • 密钥和 Secret 管理
  • 日志记录
  • 检测控制措施
  • 结算
  • 创建和部署安全应用
  • 常规安全指南