Esta página apresenta uma visão geral das práticas recomendadas de segurança para aumentar a postura de segurança e proteção de dados nas suas Cloud Workstations. Esta lista não é uma lista de verificação abrangente que garante garantias de segurança ou substitui suas posturas de segurança atuais.
O objetivo é fornecer um guia com as práticas recomendadas de segurança possibilitadas pelos Cloud Workstations. Adicione essas recomendações ao seu portfólio de soluções de segurança quando aplicável, como parte dos esforços para criar uma abordagem de segurança em camadas. Uma abordagem de segurança em camadas é um dos principais princípios de segurança para executar serviços seguros e em conformidade no Google Cloud.
Contexto
O serviço Cloud Workstations fornece imagens de base predefinidas para uso com o serviço. O serviço recria e republica essas imagens semanalmente para garantir que o software incluído no pacote tenha os patches de segurança mais recentes. Além disso, o serviço usa um valor padrão de tempo limite de execução na configuração da estação de trabalho para garantir que as estações de trabalho sejam atualizadas automaticamente e que as imagens sem patch não permaneçam ativas.
No entanto, o Google Cloud não é proprietário de todos os pacotes incluídos nessas imagens. Os gerenciadores de pacotes podem priorizar as atualizações de maneira diferente, dependendo de como um bug ou vulnerabilidades e exposições comuns (CVEs) afetam o produto. Se um produto usar apenas uma parte de uma biblioteca, ele não será afetado por descobertas em outras partes da biblioteca. Por isso, embora existam resultados de CVE de verificações de vulnerabilidade das nossas imagens, o Cloud Workstations ainda pode fornecer um produto seguro.
Cloud Workstations podem fazer isso porque fornecem um sistema de autenticação e autorização que ajuda a garantir que apenas o desenvolvedor designado possa acessar a estação de trabalho. Como em qualquer ambiente de desenvolvimento, os desenvolvedores precisam aplicar as práticas recomendadas ao usar a estação de trabalho. Para ter o máximo de segurança possível, execute apenas códigos confiáveis, opere apenas com entradas confiáveis e acesse apenas domínios confiáveis. Além disso, não é recomendável usar estações de trabalho para hospedar servidores de produção ou compartilhar uma única estação de trabalho com vários desenvolvedores.
Se você quiser ter mais controle sobre a segurança das imagens de estação de trabalho da sua organização, crie suas próprias imagens de contêiner personalizadas.
Restringir o acesso à rede pública
Desative os endereços IP públicos
nas estações de trabalho usando a configuração delas e
configure regras de firewall
limitando o acesso a destinos da Internet públicos que não são necessários para o trabalho diário
no Cloud Workstations.
Se você desativar endereços IP públicos, configure o Acesso privado do Google ou o Cloud NAT na sua rede.
Se você usa o Acesso privado do Google e o
private.googleapis.com ou restricted.googleapis.com para o
Artifact Registry (ou Container Registry), configure os registros DNS para
domínios
*.pkg.dev e *.gcr.io.
Restringir o acesso SSH direto
Restrinja o acesso SSH direto às VMs no projeto que hospeda os Cloud Workstations para que o acesso só seja possível pelo gateway dos Cloud Workstations, onde as políticas de gerenciamento de identidade e acesso (IAM) são aplicadas e os Logs de fluxo do VPC podem ser ativados.
Para desativar o acesso SSH direto à VM, execute o seguinte comando da Google Cloud CLI:
gcloud workstations configs update CONFIG \
--cluster=CLUSTER \
--region=REGION \
--project=PROJECT \
--disable-ssh-to-vm
Limitar o acesso a recursos sensíveis
Configure um perímetro de serviço do VPC Service Controls para limitar o acesso a recursos sensíveis das estações de trabalho, evitando a exfiltração de código de origem e de dados.
Seguir o princípio de privilégio mínimo
Siga o princípio de privilégio mínimo para permissões e alocação de recursos.
Permissões do IAM
Use a configuração padrão do Identity and Access Management, limitando o acesso à estação de trabalho a um único desenvolvedor. Isso ajuda a garantir que cada desenvolvedor esteja usando uma instância de estação de trabalho exclusiva com uma VM subjacente distinta, aumentando o isolamento do ambiente. Os editores de código e os aplicativos do Cloud Workstations são executados em um contêiner no modo privilegiado e com acesso raiz, para aumentar a flexibilidade do desenvolvedor. Isso fornece uma estação de trabalho exclusiva por desenvolvedor e ajuda a garantir que, mesmo que um usuário saia desse contêiner, ele ainda estará dentro da VM, sem acesso a outros recursos externos.
Configure permissões do IAM que limitam o acesso de usuários que não são administradores para modificar configurações da estação de trabalho e imagens de contêiner no Artifact Registry.
Além disso, o Google recomenda que você configure permissões do IAM limitando o acesso de não administradores a qualquer um dos recursos do Compute Engine no projeto que hospeda os Cloud Workstations.
Para mais informações, consulte Como usar o IAM com segurança.
Permissões do Cloud KMS
Para oferecer melhor suporte ao princípio de privilégio mínimo, recomendamos que você mantenha
os recursos do Cloud KMS e do Cloud Workstations em
projetos separados do Google Cloud. Crie seu projeto de chave do Cloud KMS sem um owner no nível do projeto e atribua um Administrador da organização
concedido no nível da organização.
Ao contrário de um owner, um
Administrador da organização
não pode gerenciar ou usar
chaves diretamente. Elas estão restritas às configurações de políticas do IAM,
que restringem quem pode gerenciar e usar chaves.
Isso também é conhecido como separação de tarefas,que é o conceito de garantir que um indivíduo não tenha todas as permissões necessárias para concluir uma ação mal-intencionada. Para mais informações, consulte Separação de deveres.
Aplicar atualizações automáticas de imagem e patches
Verifique se as estações de trabalho estão usando a versão mais recente das imagens de base dos Cloud Workstations, que contém os patches e correções de segurança mais recentes. O valor do tempo limite de execução na configuração da estação de trabalho ajuda a garantir que as estações de trabalho criadas com essa configuração sejam atualizadas automaticamente na próxima sessão para corresponder à versão mais recente da imagem do contêiner definida na configuração da estação de trabalho.
- Se a sua organização usa uma das imagens de base do Cloud Workstations, a
estação de trabalho vai coletar automaticamente todas as atualizações da
configuração da próxima vez que for desligada e
reinicializada. Definir
runningTimeoutou usar o padrão ajuda a garantir que essas estações de trabalho sejam desligadas. - Se a sua organização usa uma imagem personalizada, reconstrua a imagem regularmente. Recomendamos que você crie um pipeline de imagens seguro, conforme descrito na próxima seção.
Criar um pipeline de imagens seguro para imagens personalizadas
Você é responsável por manter e atualizar pacotes personalizados e dependências adicionadas a imagens personalizadas.
Se você estiver criando imagens personalizadas, recomendamos o seguinte:
Ajude a proteger seu pipeline de imagens recriando automaticamente essas imagens quando a imagem de base do Cloud Workstations for atualizada.
Execute uma ferramenta de verificação de contêineres, como o Artifact Analysis, para inspecionar as dependências adicionais que você adicionou.
Programe builds para recriar imagens semanalmente ou aprenda a automatizar a recriação de imagens de contêiner.
Configurar os registros de fluxo de VPC
Quando você cria um cluster de estações de trabalho, o Cloud Workstations associa o cluster a uma sub-rede específica, e todas as estações de trabalho são colocadas nessa sub-rede. Para ativar os registros de fluxo de VPC, ative a geração de registros para essa sub-rede. Para mais informações, consulte Ativar os registros de fluxo de VPC para uma sub-rede atual.