Questa pagina fornisce una panoramica delle best practice per la sicurezza consigliate a aumenta il livello di sicurezza e protezione dei dati attorno alle tue Cloud Workstations. Questo elenco non è un elenco di controllo completo che garantisce le garanzie di sicurezza, né un la sostituzione delle tue posizioni di sicurezza esistenti.
L'obiettivo è fornirti una guida alle best practice per la sicurezza adottate possibile da Cloud Workstations. Aggiungi questi consigli al tuo portafoglio di per la sicurezza online, ove applicabile, nell'ambito degli sforzi per creare una un approccio alla sicurezza. L'approccio alla sicurezza a più livelli è uno dei fondamenti principi di sicurezza per eseguire servizi sicuri e conformi su Google Cloud.
Contesto
Il servizio Cloud Workstations fornisce immagini di base predefinite da utilizzare con il servizio. Il servizio ricrea e ripubblica queste immagini ogni settimana per per garantire che il software in bundle includa le patch di sicurezza più recenti. Inoltre, il servizio utilizza un valore predefinito di timeout in esecuzione configurazione workstation per garantire che le workstation vengono aggiornate automaticamente e che le immagini prive di patch non rimangano attive.
Tuttavia, Google Cloud non possiede tutti i pacchetti inclusi in queste immagini. I gestori dei pacchetti possono assegnare la priorità agli aggiornamenti in modo diverso a seconda di come un bug o un le vulnerabilità e le esposizioni comuni (CVE) hanno un impatto sul loro prodotto. Se un prodotto utilizza solo una parte di una biblioteca, potrebbe non essere influenzata dai rilevamenti in altre parti della libreria. Per questo motivo, anche se i risultati CVE delle analisi di vulnerabilità delle nostre immagini, Cloud Workstations è ancora in grado di fornire prodotto sicuro.
Cloud Workstations può farlo perché fornisce un servizio di autenticazione sistema di autorizzazione che solo lo sviluppatore designato può alla propria workstation. Come per ogni ambiente di sviluppo, gli sviluppatori dovrebbero e applicare le best practice quando utilizza la workstation. Per garantire la massima sicurezza, esegui solo codice attendibile, opera solo su input attendibile e accedi domini. Inoltre, ti sconsigliamo di utilizzare workstation per ospitare di produzione o la condivisione di una singola workstation con più sviluppatori.
Se vuoi avere un maggiore controllo sulla sicurezza del personale immagini workstation, puoi anche creare immagini container personalizzate.
Limita accesso alla rete pubblica
Disabilita gli indirizzi IP pubblici
sulle workstation utilizzando la configurazione e
configurare le regole firewall
limitare l'accesso a destinazioni internet pubbliche non richiesto per il lavoro quotidiano
da Cloud Workstations.
Se disabiliti gli indirizzi IP pubblici, devi configurare
Accesso privato Google
o Cloud NAT sulla tua rete.
Se utilizzi l'accesso privato Google e utilizzi
private.googleapis.com o restricted.googleapis.com per
Artifact Registry (o Container Registry), assicurati di configurare i record DNS per
domini
*.pkg.dev e *.gcr.io.
Limita accesso diretto SSH
Assicurati di limitare l'accesso diretto SSH alle VM nel progetto che ospita le tue workstation Cloud, in modo che l'accesso sia possibile solo tramite il gateway Cloud Workstations, dove Identity and Access Management (IAM) dell'applicazione delle norme Log di flusso VPC possono essere abilitate.
Per disabilitare l'accesso diretto SSH alla VM, esegui questo comando di Google Cloud CLI:
gcloud workstations configs update CONFIG \
--cluster=CLUSTER \
--region=REGION \
--project=PROJECT \
--disable-ssh-to-vm
Limita l'accesso alle risorse sensibili
Imposta un Perimetro di servizio Controlli di servizio VPC per limitare l'accesso a risorse sensibili dalle tue workstation, impedendo l'accesso codice ed esfiltrazione di dati.
Seguire il principio del privilegio minimo
Segui il principio del privilegio minimo per le autorizzazioni e l'allocazione delle risorse.
Autorizzazioni IAM
Utilizza la configurazione predefinita di Identity and Access Management, limitando l'accesso alle workstation a un singolo sviluppatore. Questo aiuta a garantire che ogni lo sviluppatore utilizza un'istanza di workstation univoca con una VM sottostante distinta, aumentando l'isolamento dell'ambiente. Cloud Workstations gli editor di codice e le applicazioni vengono eseguite all'interno di un container in esecuzione in modalità con privilegi e con all'accesso, per una maggiore flessibilità per gli sviluppatori. Ciò fornisce una workstation unica per sviluppatore e aiuta a garantire che, anche se un utente esce da questo contenitore, saranno ancora all'interno della VM e non saranno in grado di accedere e risorse esterne.
Configura le autorizzazioni IAM per limitare l'accesso non amministrativo per apportare modifiche configurazioni workstation e immagini container Artifact Registry.
Inoltre, Google consiglia di configurare le autorizzazioni IAM limitare l'accesso degli utenti non amministratori a qualsiasi componente Compute Engine sottostante nel progetto che ospita le tue Cloud Workstations.
Per ulteriori informazioni, vedi utilizzando IAM in modo sicuro.
Autorizzazioni Cloud KMS
Per supportare meglio il principio del privilegio minimo, ti consigliamo di mantenere
delle risorse Cloud KMS e Cloud Workstations in
progetti Google Cloud separati. Crea il progetto chiave di Cloud KMS
senza owner a livello di progetto e specifica una
Amministratore dell'organizzazione
concesso a livello di organizzazione.
A differenza di owner,
Amministratore dell'organizzazione
non può gestire o utilizzare
direttamente le chiavi. Sono limitati all'impostazione di criteri IAM,
che limitano chi può gestire e utilizzare le chiavi.
Questa procedura è nota anche come separazione dei compiti,concetto di assicurandosi che un utente non disponga di tutte le autorizzazioni in grado di completare un'azione dannosa. Per ulteriori informazioni, vedi separazione dei compiti.
Applica patch e aggiornamenti automatici delle immagini
Assicurati che le tue workstation utilizzino la versione più recente Cloud Workstations immagini di base, che contiene le patch e le correzioni di sicurezza più recenti. La timeout in esecuzione configurazione della workstation aiuta ad assicurare che le workstation create con questa configurazione si aggiorna automaticamente alla sessione successiva, in modo che la versione più recente dell'immagine container definita nella configurazione della workstation.
- Se la tua organizzazione utilizza una delle immagini di base di Cloud Workstations,
la workstation acquisisce automaticamente eventuali aggiornamenti
alla configurazione della workstation
è stata riavviata. Impostazione
runningTimeout, o utilizzando l'impostazione predefinita, contribuisce ad assicurare che queste workstation siano arrestate. - Se la tua organizzazione utilizza un'immagine personalizzata, assicurati di ricreare immagini vengono visualizzate regolarmente. Ti consigliamo di Crea una pipeline di immagini sicure come descritto nella sezione che segue.
Crea una pipeline di immagini sicura per le immagini personalizzate
Sei responsabile della manutenzione e dell'aggiornamento dei pacchetti personalizzati delle dipendenze aggiunte alle immagini personalizzate.
Se stai creando immagini personalizzate, ti consigliamo quanto segue:
Contribuisci a proteggere il tuo pipeline di immagini ricreando automaticamente queste immagini quando l'immagine di base di Cloud Workstations viene aggiornato.
Esegui uno strumento di scansione dei container come Analisi degli artefatti per controllare eventuali dipendenze aggiuntive che hai aggiunto.
Pianificare le build per ricreare le immagini ogni settimana o scoprire come automatizzare le rigenerazioni delle immagini container.
Configura log di flusso VPC
Quando crei un cluster di workstation, Cloud Workstations lo associa con una subnet particolare e tutte le workstation si trovano in quella subnet. A abilitare log di flusso VPC, assicurati di attivare il logging per quella subnet. Per ulteriori informazioni, vedi Abilitare i log di flusso VPC per una subnet esistente.