Esta página oferece uma vista geral das práticas recomendadas de segurança para aumentar a postura de segurança e proteção de dados em torno das suas Cloud Workstations. Esta lista não é uma lista de verificação abrangente que garanta a segurança, nem uma substituição das suas posturas de segurança existentes.
O objetivo é fornecer-lhe um guia sobre as práticas recomendadas de segurança disponibilizadas pelos Cloud Workstations. Adicione estas recomendações ao seu portefólio de soluções de segurança quando aplicável, como parte dos esforços para criar uma abordagem de segurança em camadas. Uma abordagem de segurança em camadas é um dos principais princípios de segurança para executar serviços seguros e em conformidade no Google Cloud.
Contexto
O serviço Cloud Workstations fornece imagens base predefinidas para utilização com o serviço. O serviço recompila e republica estas imagens semanalmente para ajudar a garantir que o software incluído contém os patches de segurança mais recentes. Além disso, o serviço usa um valor de tempo limite de execução predefinido na sua configuração da estação de trabalho para ajudar a garantir que as estações de trabalho são atualizadas automaticamente e que as imagens sem patches não permanecem ativas.
No entanto, Google Cloud não detém todos os pacotes incluídos nestas imagens. Os gestores de pacotes podem dar prioridade às atualizações de forma diferente, consoante a forma como um erro ou as vulnerabilidades e exposições comuns (CVE) afetam o respetivo produto. Se um produto usar apenas uma parte de uma biblioteca, pode não ser afetado por deteções noutras partes da biblioteca. Por este motivo, embora existam resultados de CVEs de análises de vulnerabilidades das nossas imagens, o Cloud Workstations continua a poder fornecer um produto seguro.
As Cloud Workstations podem fazê-lo porque fornecem um sistema de autenticação e autorização que ajuda a garantir que apenas o programador designado pode aceder à respetiva estação de trabalho. Tal como acontece com qualquer ambiente de desenvolvimento, os programadores devem aplicar práticas recomendadas quando usam a sua estação de trabalho. Para ser o mais seguro possível, execute apenas código fidedigno, opere apenas em introduções fidedignas e aceda apenas a domínios fidedignos. Além disso, desaconselhamos a utilização de estações de trabalho para alojar servidores de produção ou a partilha de uma única estação de trabalho com vários programadores.
Se quiser ter mais controlo sobre a segurança das imagens das estações de trabalho da sua organização, também pode criar as suas próprias imagens de contentores personalizadas.
Use o proxy Web seguro para controlar o acesso à Internet para uma Prevenção contra a perda de dados (DLP) melhorada
Para bloquear todo o acesso à Internet pública, por exemplo, para a prevenção contra a perda de dados (DLP), desative os endereços IP públicos nas configurações da estação de trabalho.
Se desativar os endereços IP públicos, tem de configurar o
Acesso privado do Google
ou a NAT na nuvem na sua rede.
Se usar o acesso privado da Google e usar private.googleapis.com ou restricted.googleapis.com para o Artifact Registry, certifique-se de que configura os registos DNS para os domínios
*.pkg.dev.
No entanto, se os seus programadores precisarem de acesso a determinados Websites externos a partir das respetivas estações de trabalho, use o proxy Web seguro para fornecer acesso auditável a esses sites, o que inclui proteções de DLP.
O proxy Web seguro ajuda as organizações a aplicar um acesso detalhado à Internet, controlando o tráfego de saída com base na origem, na identidade, no destino e no tipo de pedido. Pode definir estas políticas num Google Cloud contexto de gestão de identidade e de acesso (IAM), usando contas de serviço e etiquetas seguras para restringir o tráfego, por exemplo, a um destino específico.
O proxy Web seguro também oferece um serviço de inspeção TLS escalável que lhe permite aplicar políticas no tráfego TLS encriptado intercetado.
O Secure Web Proxy integra-se com o Cloud Logging para registar métricas e registos de transações. Para identificar a estação de trabalho de origem de uma determinada entrada de registo, encontre o endereço IP da VM na entrada de registo e, em seguida, use os registos da plataforma da estação de trabalho para correlacionar esse endereço IP com a estação de trabalho correspondente.
Pode usar uma imagem personalizada
para definir https_proxy e http_proxy para o proxy Web seguro nas suas estações de trabalho.
Restrinja o acesso SSH direto
Certifique-se de que restringe o acesso SSH direto às VMs no projeto que aloja as Cloud Workstations, para que o acesso só seja possível através do gateway das Cloud Workstations, onde as políticas de Identity and Access Management (IAM)) são aplicadas e os VPC Flow Logs podem ser ativados.
Para desativar o acesso SSH direto à VM, execute o seguinte comando da CLI Google Cloud:
gcloud workstations configs update CONFIG \
--cluster=CLUSTER \
--region=REGION \
--project=PROJECT \
--disable-ssh-to-vm
Limite o acesso a recursos confidenciais
Configure um perímetro de serviço dos VPC Service Controls para limitar o acesso a recursos sensíveis a partir das suas estações de trabalho, impedindo a exfiltração de código fonte e dados.
Siga o princípio do menor privilégio
Siga o princípio do menor privilégio para autorizações e atribuição de recursos.
Autorizações de IAM
Use a configuração predefinida de gestão de identidade e acesso, limitando o acesso à estação de trabalho a um único programador. Isto ajuda a garantir que cada programador está a usar uma instância de estação de trabalho única com uma VM subjacente distinta, o que aumenta o isolamento do ambiente. Os editores de código e as aplicações do Cloud Workstations são executados num contentor em modo privilegiado e com acesso de raiz, para aumentar a flexibilidade dos programadores. Isto fornece uma estação de trabalho única por programador e ajuda a garantir que, mesmo que um utilizador escape deste contentor, continua a estar dentro da respetiva MV, sem conseguir aceder a recursos externos adicionais.
Configure autorizações IAM que limitam o acesso de não administradores à modificação de configurações de estações de trabalho e imagens de contentores no Artifact Registry.
Além disso, a Google recomenda que configure as autorizações da IAM que limitam o acesso de não administradores a qualquer um dos recursos subjacentes do Compute Engine no projeto que aloja as suas Cloud Workstations.
Para mais informações, consulte o artigo sobre como usar o IAM de forma segura.
Autorizações do Cloud KMS
Para melhor apoiar o princípio do menor privilégio, recomendamos que mantenha os recursos do Cloud KMS e os recursos do Cloud Workstations em projetos Google Cloud separados. Crie o projeto de chave do Cloud KMS
sem um owner ao nível do projeto e designe um
administrador da organização
concedido ao nível da organização.
Ao contrário de um owner, um
administrador da organização
não pode gerir nem usar
chaves diretamente. Estão restritos à definição de políticas de IAM,
que restringem quem pode gerir e usar chaves.
Isto também é conhecido como separação de funções,que é o conceito de garantir que um indivíduo não tem todas as autorizações necessárias para poder concluir uma ação maliciosa. Para mais informações, consulte o artigo sobre a separação de funções.
Aplique atualizações e patches automáticos de imagens
Certifique-se de que as suas estações de trabalho estão a usar a versão mais recente das imagens base do Cloud Workstations, que contém os patches e as correções de segurança mais recentes. O valor de tempo limite de execução na configuração da estação de trabalho ajuda a garantir que as estações de trabalho criadas com esta configuração são atualizadas automaticamente na sessão seguinte para corresponder à versão mais recente da imagem do contentor definida na configuração da estação de trabalho.
- Se a sua organização usar uma das imagens base do Cloud Workstations, a estação de trabalho recebe automaticamente todas as atualizações à configuração da estação de trabalho na próxima vez que a estação de trabalho for encerrada e reiniciada. Definir
runningTimeout> ou usar a predefinição ajuda a garantir que estas estações de trabalho são encerradas. - Se a sua organização usar uma imagem personalizada, certifique-se de que recria a imagem regularmente.
Mantenha imagens personalizadas
É responsável pela manutenção e atualização de pacotes personalizados e dependências adicionadas em imagens personalizadas.
Se estiver a criar imagens personalizadas, recomendamos o seguinte:
Execute uma ferramenta de análise de contentores, como a análise de artefactos, para inspecionar quaisquer dependências adicionais que tenha adicionado.
Agende compilações para recompilar imagens semanalmente ou saiba como automatizar as recompilações de imagens de contentores.
Configure os registos de fluxo da VPC
Quando cria um cluster de estações de trabalho, o Cloud Workstations associa o cluster a uma sub-rede específica, e todas as estações de trabalho são colocadas nessa sub-rede. Para ativar os registos de fluxo da VPC, certifique-se de que ativa o registo para essa sub-rede. Para mais informações, consulte o artigo Ative os registos de fluxo de VPC para uma sub-rede existente.
Ative a deteção de ameaças de VMs no Security Command Center
O Security Command Center é uma solução de gestão de riscos baseada na nuvem que ajuda os profissionais de segurança a prevenir, detetar e responder a problemas de segurança. Uma vez que as estações de trabalho são executadas numa VM dedicada por estação de trabalho, a deteção de ameaças de máquinas virtuais pode ser usada para detetar aplicações potencialmente maliciosas, como software de mineração de criptomoedas, rootkits no modo kernel e software malicioso em execução na estação de trabalho.
Quando avalia as conclusões para VMs, pode encontrar a estação de trabalho atribuída à VM inspecionando as etiquetas da estação de trabalho na VM ou usando os registos da plataforma Workstations para procurar atribuições históricas.