Halaman ini menyediakan ringkasan praktik terbaik keamanan yang direkomendasikan untuk meningkatkan postur keamanan dan perlindungan data di seputar Cloud Workstation Anda. Daftar ini bukan checklist lengkap yang memastikan jaminan keamanan, atau penggantian untuk postur keamanan yang sudah ada.
Tujuannya adalah memberi Anda panduan untuk praktik terbaik keamanan yang dimungkinkan oleh Cloud Workstations. Tambahkan rekomendasi ini ke portofolio solusi keamanan Anda jika berlaku, sebagai bagian dari upaya untuk membangun pendekatan keamanan berlapis. Pendekatan keamanan berlapis adalah salah satu prinsip keamanan inti untuk menjalankan layanan yang aman dan mematuhi peraturan di Google Cloud.
Latar belakang
Layanan Cloud Workstations menyediakan image dasar standar untuk digunakan dengan layanan. Layanan membuat ulang dan memublikasikan ulang gambar ini setiap minggu untuk membantu memastikan bahwa software yang dipaketkan menyertakan patch keamanan terbaru. Selain itu, layanan ini menggunakan nilai waktu tunggu berjalan default pada konfigurasi workstation untuk membantu memastikan bahwa workstation otomatis diupdate dan gambar yang tidak di-patch tidak tetap aktif.
Namun, Google Cloud tidak memiliki semua paket yang dipaketkan ke dalam image ini. Pengelola paket mungkin memprioritaskan update secara berbeda, bergantung pada pengaruh bug atau eksposur dan kerentanan umum (CVE) terhadap produk mereka. Jika suatu produk hanya menggunakan sebagian library, produk tersebut mungkin tidak terpengaruh oleh penemuan di bagian lain dari library tersebut. Oleh karena itu, meskipun temuan CVE dari pemindaian kerentanan gambar kami ada, Cloud Workstations masih dapat menyediakan produk yang aman.
Cloud Workstations dapat melakukannya karena menyediakan sistem autentikasi dan otorisasi yang membantu memastikan bahwa hanya developer yang ditetapkan yang dapat mengakses workstation mereka. Seperti lingkungan pengembangan lainnya, developer harus menerapkan praktik terbaik saat menggunakan workstation mereka. Agar seaman mungkin, jalankan hanya kode tepercaya, operasikan hanya pada input tepercaya, dan akses hanya domain tepercaya. Selain itu, Anda tidak disarankan menggunakan workstation untuk menghosting server produksi, atau berbagi satu workstation dengan beberapa developer.
Jika ingin memiliki kontrol lebih besar atas keamanan image workstation organisasi, Anda juga dapat membuat image container yang disesuaikan sendiri.
Membatasi akses jaringan publik
Nonaktifkan alamat IP publik di workstation menggunakan konfigurasi workstation Anda dan konfigurasi aturan firewall yang membatasi akses ke tujuan internet publik yang tidak diperlukan untuk pekerjaan sehari-hari dari dalam Cloud Workstation.
Jika menonaktifkan alamat IP publik, Anda harus menyiapkan Akses Google Pribadi atau Cloud NAT di jaringan Anda.
Jika Anda menggunakan Akses Google Pribadi dan menggunakan
private.googleapis.com atau restricted.googleapis.com untuk
Artifact Registry (atau Container Registry), pastikan Anda menyiapkan data DNS untuk
domain
*.pkg.dev dan *.gcr.io.
Membatasi akses SSH langsung
Pastikan Anda membatasi akses SSH langsung ke VM dalam project yang menghosting Cloud Workstation Anda, sehingga akses hanya dapat dilakukan melalui gateway Cloud Workstation, tempat kebijakan Identity and Access Management (IAM) diterapkan dan Log Aliran VPC dapat diaktifkan.
Untuk menonaktifkan akses SSH langsung ke VM, jalankan perintah Google Cloud CLI berikut:
gcloud workstations configs update CONFIG \
--cluster=CLUSTER \
--region=REGION \
--project=PROJECT \
--disable-ssh-to-vm
Membatasi akses ke resource sensitif
Siapkan perimeter layanan Kontrol Layanan VPC untuk membatasi akses ke resource sensitif dari workstation Anda, sehingga akan mencegah kode sumber dan pemindahan data yang tidak sah.
Ikuti prinsip hak istimewa terendah
Ikuti prinsip hak istimewa terendah untuk izin dan alokasi resource.
Izin IAM
Gunakan konfigurasi Identity and Access Management default, yang membatasi akses workstation ke satu developer. Hal ini membantu memastikan bahwa setiap developer menggunakan instance workstation unik dengan VM dasar yang berbeda, sehingga meningkatkan isolasi lingkungan. Aplikasi dan editor kode Cloud Workstations berjalan di dalam container yang berjalan dalam mode hak istimewa dan dengan akses root, untuk meningkatkan fleksibilitas developer. Hal ini menyediakan workstation unik per developer dan membantu memastikan bahwa meskipun pengguna keluar dari container ini, mereka masih berada di dalam VM-nya dan tidak dapat mengakses resource eksternal tambahan.
Siapkan izin IAM yang membatasi akses non-admin untuk mengubah konfigurasi workstation dan image container di Artifact Registry.
Selain itu, Google merekomendasikan agar Anda menyiapkan izin IAM yang membatasi akses non-admin ke resource Compute Engine dasar mana pun dalam project yang menghosting Cloud Workstation Anda.
Untuk mengetahui informasi selengkapnya, lihat menggunakan IAM dengan aman.
Izin Cloud KMS
Untuk lebih mendukung prinsip hak istimewa terendah, sebaiknya Anda menyimpan resource Cloud KMS dan resource Cloud Workstation dalam project Google Cloud yang terpisah. Buat project kunci Cloud KMS Anda tanpa owner di level project, dan tetapkan Organization Admin
yang diberikan di level organisasi.
Tidak seperti owner, Admin Organisasi
tidak dapat mengelola atau menggunakan
kunci secara langsung. Aturan ini dibatasi untuk menetapkan kebijakan IAM,
yang membatasi siapa yang dapat mengelola dan menggunakan kunci.
Hal ini juga disebut sebagai pemisahan tugas,yang merupakan konsep untuk memastikan bahwa satu individu tidak memiliki semua izin yang diperlukan agar dapat menyelesaikan tindakan berbahaya. Untuk mengetahui informasi selengkapnya, lihat pemisahan tugas.
Menerapkan patch dan update gambar otomatis
Pastikan workstation Anda menggunakan image dasar Cloud Workstations versi terbaru, yang berisi patch dan perbaikan keamanan terbaru. Nilai waktu tunggu yang berjalan pada konfigurasi workstation Anda membantu memastikan bahwa workstation yang dibuat dengan konfigurasi ini akan otomatis diperbarui pada sesi berikutnya, agar cocok dengan versi terbaru image container yang ditentukan dalam konfigurasi workstation.
- Jika organisasi Anda menggunakan salah satu image dasar Cloud Workstation, workstation akan otomatis mengambil semua pembaruan konfigurasi workstation saat workstation dimatikan dan dimulai ulang. Menetapkan
runningTimeout, atau menggunakan default, akan membantu memastikan bahwa workstation ini dimatikan. - Jika organisasi Anda menggunakan image kustom, pastikan Anda membuat ulang image secara rutin. Sebaiknya Buat pipeline gambar yang aman seperti yang dijelaskan di bagian berikut.
Membuat pipeline gambar yang aman untuk gambar kustom
Anda bertanggung jawab untuk memelihara dan memperbarui paket khusus dan dependensi yang ditambahkan pada image kustom.
Jika Anda membuat gambar kustom, kami merekomendasikan hal berikut:
Bantu amankan pipeline gambar Anda dengan mem-build ulang image ini secara otomatis saat image dasar Cloud Workstations diperbarui.
Jalankan alat pemindaian container seperti Artifact Analysis untuk memeriksa dependensi tambahan yang Anda tambahkan.
Jadwalkan build untuk mem-build ulang image setiap minggu, atau pelajari cara mengotomatiskan rebuild image container.
Menyiapkan Log Aliran VPC
Saat Anda membuat cluster workstation, Cloud Workstations akan mengaitkan cluster tersebut dengan subnet tertentu, dan semua workstation akan ditempatkan di subnet tersebut. Untuk mengaktifkan Log Aliran VPC, pastikan Anda mengaktifkan logging untuk subnet tersebut. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan Log Aliran VPC untuk subnet yang ada.