Halaman ini diterjemahkan oleh Cloud Translation API.

Menyiapkan praktik keamanan terbaik

Halaman ini memberikan ringkasan praktik terbaik keamanan yang direkomendasikan untuk meningkatkan postur keamanan dan perlindungan data di sekitar Cloud Workstation Anda. Daftar ini bukan checklist komprehensif yang memastikan jaminan keamanan, atau pengganti postur keamanan yang sudah ada.

Tujuannya adalah untuk memberi Anda panduan tentang praktik terbaik keamanan yang dimungkinkan oleh Cloud Workstation. Tambahkan rekomendasi ini ke portofolio solusi keamanan Anda jika berlaku, sebagai bagian dari upaya untuk membangun pendekatan keamanan berlapis. Pendekatan keamanan berlapis adalah salah satu prinsip keamanan inti untuk menjalankan layanan yang aman dan sesuai standar di Google Cloud.

Latar belakang

Layanan Cloud Workstations menyediakan image dasar standar untuk digunakan dengan layanan. Layanan ini membuat ulang dan memublikasikan ulang image ini setiap minggu untuk membantu memastikan bahwa software yang dipaketkan menyertakan patch keamanan terbaru. Selain itu, layanan ini menggunakan nilai waktu tunggu berjalan default di konfigurasi workstation untuk membantu memastikan bahwa workstation diupdate secara otomatis dan image yang tidak di-patch tidak tetap aktif.

Namun, Google Cloud tidak memiliki semua paket yang dipaketkan ke dalam image ini. Pengelola paket mungkin memprioritaskan update secara berbeda, bergantung pada dampak bug atau kerentanan dan eksposur umum (CVE) terhadap produk mereka. Jika produk hanya menggunakan sebagian library, produk tersebut mungkin tidak terpengaruh oleh penemuan di bagian library lainnya. Oleh karena itu, meskipun temuan CVE dari pemindaian kerentanan pada image kami ada, Cloud Workstations masih dapat menyediakan produk yang aman.

Cloud Workstation dapat melakukannya karena menyediakan sistem autentikasi dan otorisasi yang membantu memastikan bahwa hanya developer yang ditunjuk yang dapat mengakses workstation mereka. Seperti lingkungan pengembangan lainnya, developer harus menerapkan praktik terbaik saat menggunakan workstation. Agar seaman mungkin, hanya jalankan kode tepercaya, hanya beroperasi pada input tepercaya, dan hanya akses domain tepercaya. Selain itu, sebaiknya Anda tidak menggunakan workstation untuk menghosting server produksi, atau berbagi satu workstation dengan beberapa developer.

Jika ingin memiliki kontrol yang lebih besar atas keamanan image workstation organisasi, Anda juga dapat membuat image penampung yang disesuaikan sendiri.

Membatasi akses jaringan publik

Nonaktifkan alamat IP publik di workstation menggunakan konfigurasi workstation dan konfigurasi aturan firewall yang membatasi akses ke tujuan internet publik yang tidak diperlukan untuk pekerjaan sehari-hari dari dalam Cloud Workstation. Jika menonaktifkan alamat IP publik, Anda harus menyiapkan Akses Google Pribadi atau Cloud NAT di jaringan Anda. Jika Anda menggunakan Akses Google Pribadi dan menggunakan private.googleapis.com atau restricted.googleapis.com untuk Artifact Registry (atau Container Registry), pastikan Anda menyiapkan data DNS untuk domain *.pkg.dev dan *.gcr.io.

Membatasi akses SSH langsung

Pastikan Anda membatasi akses SSH langsung ke VM dalam project yang menghosting Cloud Workstation, sehingga akses hanya dapat dilakukan melalui gateway Cloud Workstation, tempat kebijakan Identity and Access Management (IAM) diterapkan dan VPC Flow Logs dapat diaktifkan.

Untuk menonaktifkan akses SSH langsung ke VM, jalankan perintah Google Cloud CLI berikut:

    gcloud workstations configs update CONFIG \
        --cluster=CLUSTER \
        --region=REGION \
        --project=PROJECT \
        --disable-ssh-to-vm

Membatasi akses ke resource sensitif

Siapkan perimeter layanan Kontrol Layanan VPC untuk membatasi akses ke resource sensitif dari workstation Anda, sehingga mencegah pemindahan data yang tidak sah dan kode sumber.

Mengikuti prinsip hak istimewa terendah

Ikuti prinsip hak istimewa terendah untuk izin dan alokasi resource.

Izin IAM

Gunakan konfigurasi Identity and Access Management default, yang membatasi akses workstation ke satu developer. Hal ini membantu memastikan bahwa setiap developer menggunakan instance workstation unik dengan VM dasar yang berbeda, sehingga meningkatkan isolasi lingkungan. Editor kode dan aplikasi Cloud Workstations berjalan di dalam penampung yang berjalan dalam mode dengan hak istimewa dan dengan akses root, untuk meningkatkan fleksibilitas developer. Hal ini memberikan workstation unik per developer dan membantu memastikan bahwa meskipun pengguna keluar dari penampung ini, mereka masih berada di dalam VM, tidak dapat memperoleh akses ke resource eksternal tambahan.

Siapkan izin IAM yang membatasi akses non-admin untuk mengubah konfigurasi workstation dan image penampung di Artifact Registry.

Selain itu, Google merekomendasikan agar Anda menyiapkan izin IAM yang membatasi akses non-admin ke resource Compute Engine yang mendasarinya dalam project yang menghosting Cloud Workstation Anda.

Untuk mengetahui informasi selengkapnya, lihat menggunakan IAM dengan aman.

Izin Cloud KMS

Untuk mendukung prinsip hak istimewa terendah dengan lebih baik, sebaiknya simpan resource Cloud KMS dan resource Cloud Workstations di project Google Cloud yang terpisah. Buat project kunci Cloud KMS Anda tanpa owner di tingkat project, dan tetapkan Admin Organisasi yang diberikan di tingkat organisasi. Tidak seperti owner, Admin Organisasi tidak dapat mengelola atau menggunakan kunci secara langsung. Kebijakan ini dibatasi untuk menetapkan kebijakan IAM, yang membatasi siapa yang dapat mengelola dan menggunakan kunci.

Hal ini juga disebut sebagai pemisahan tugas, yang merupakan konsep untuk memastikan bahwa satu individu tidak memiliki semua izin yang diperlukan agar dapat menyelesaikan tindakan berbahaya. Untuk mengetahui informasi selengkapnya, lihat pemisahan tugas.

Menerapkan update dan patch image otomatis

Pastikan workstation Anda menggunakan image dasar Cloud Workstations versi terbaru, yang berisi patch dan perbaikan keamanan terbaru. Nilai running timeout di konfigurasi workstation membantu memastikan bahwa workstation yang dibuat dengan konfigurasi ini otomatis diperbarui pada sesi berikutnya, agar cocok dengan versi terbaru image penampung yang ditentukan dalam konfigurasi workstation.

Jika organisasi Anda menggunakan salah satu image dasar Cloud Workstation, workstation akan otomatis mengambil update apa pun pada konfigurasi workstation saat workstation dimatikan dan dimulai ulang lagi. Menetapkan runningTimeout, atau menggunakan setelan default, akan membantu memastikan bahwa workstation ini dimatikan.
Jika organisasi Anda menggunakan image kustom, pastikan Anda mem-build ulang image secara rutin. Sebaiknya Anda Membuat pipeline image yang aman seperti yang dijelaskan di bagian berikut.

Membuat pipeline image aman untuk image kustom

Anda bertanggung jawab untuk mengelola dan mengupdate paket dan dependensi kustom yang ditambahkan pada image kustom.

Jika Anda membuat gambar kustom, sebaiknya lakukan hal berikut:

Membantu mengamankan pipeline image dengan otomatis mem-build ulang image ini saat image dasar Cloud Workstations diupdate.
Jalankan alat pemindaian penampung seperti Artifact Analysis untuk memeriksa dependensi tambahan yang Anda tambahkan.
Jadwalkan build untuk mem-build ulang image setiap minggu, atau pelajari cara mengotomatiskan pembuatan ulang image container.

Menyiapkan Log Aliran VPC

Saat Anda membuat cluster workstation, Cloud Workstation akan mengaitkan cluster dengan subnet tertentu dan semua workstation ditempatkan di subnet tersebut. Untuk mengaktifkan Log Aliran VPC, pastikan Anda mengaktifkan logging untuk subnet tersebut. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan Log Aliran VPC untuk subnet yang ada.