本页面简要介绍了为提高 Cloud 工作站的安全性和数据保护状况而推荐的安全最佳实践。此列表并不是一份旨在确保安全性的全面核对清单, 以替代您现有的安全状况。
本指南旨在为您提供有关 Cloud Workstations 支持的安全最佳实践的指南。将这些建议添加到您的产品组合 安全解决方案(如果适用),以构建分层式安全防护解决方案, 安全方法。分层安全方法是确保在 Google Cloud 上运行安全且合规的服务的核心安全原则之一。
背景
Cloud Workstations 服务 预定义的基础映像以供使用 。该服务每周都会重新构建和重新发布这些映像, 帮助确保捆绑的软件包含最新的安全补丁。 此外,该服务会在您的服务器上使用默认的运行超时值, 工作站配置 工作站会自动更新,且未修补的映像不会保持活跃状态。
不过,Google Cloud 并不拥有捆绑到这些映像中的所有软件包。软件包管理器可能会根据 bug 或 常见漏洞和风险 (CVE) 会影响其产品。如果某个产品 只使用库的一部分,因此它可能不受 库的其他部分因此,尽管 Cloud Workstations 仍能提供 安全产品。
Cloud Workstations 之所以能够做到这一点,是因为它能够提供身份验证和 一种授权系统,有助于确保只有指定的开发者 访问他们的工作站与任何开发环境一样,开发者应 并在使用其工作站时遵循最佳实践。为了尽可能提高安全性,请仅运行可信代码、仅对可信输入进行操作,以及仅访问可信网域。此外,我们不建议您使用工作站托管生产服务器,也不建议与多个开发者共用一个工作站。
如果您想更好地控制贵组织的账号安全, 也可以创建自己的工作站映像 自定义容器映像。
限制公共网络访问
停用公共 IP 地址
使用工作站配置和
配置防火墙规则
限制日常工作不需要的公共互联网目的地的访问权限
Cloud Workstations
如果停用公共 IP 地址,则必须设置
专用 Google 访问通道
或 Cloud NAT。
如果您使用专用 Google 访问通道,并且为 Artifact Registry(或 Container Registry)使用 private.googleapis.com
或 restricted.googleapis.com
,请务必为网域 *.pkg.dev
和 *.gcr.io
设置 DNS 记录。
限制直接 SSH 访问
请务必将直接 SSH 访问限制到托管 Cloud Workstations 工作站的项目中的虚拟机,以便只能通过 Cloud Workstations 网关进行访问, Identity and Access Management (IAM) 政策的执行情况 VPC 流日志 可以启用。
如需停用对虚拟机的直接 SSH 访问权限,请运行以下 Google Cloud CLI 命令:
gcloud workstations configs update CONFIG \ --cluster=CLUSTER \ --region=REGION \ --project=PROJECT \ --disable-ssh-to-vm
限制对敏感资源的访问
设置 VPC Service Controls 服务边界 限制工作站对敏感资源的访问,防止源服务器 代码和数据渗漏。
遵循最小权限原则
在权限和资源分配方面遵循最小权限原则。
IAM 权限
使用 默认 Identity and Access Management 配置, 仅限单个开发者访问工作站。这有助于确保每个开发者都使用具有不同底层虚拟机的唯一工作站实例,从而提高环境隔离性。Cloud Workstations 代码编辑器和应用在以特权模式运行且具有 root 访问权限的容器内运行,从而提高了开发者的灵活性。这提供了一个独特的工作站 并有助于确保即使用户离开此容器, 他们仍会留在他们的虚拟机内,无法再访问 外部资源
设置 IAM 权限,限制非管理员对Artifact Registry 中工作站配置和容器映像的修改权限。
此外,Google 建议您设置 IAM 权限,限制非管理员对托管 Cloud 工作站的项目中的任何底层 Compute Engine 资源的访问权限。
如需了解详情,请参阅安全使用 IAM。
Cloud KMS 权限
为了更好地支持最小权限原则,我们建议您保留
Cloud KMS 资源和 Cloud Workstations 资源
独立的 Google Cloud 项目。在项目级别创建不具备 owner
的 Cloud KMS 密钥项目,并指定一个在组织级别授予的组织管理员。与 owner
不同,
Organization Admin
无法管理或使用
键。他们只能设置 IAM 政策以限制谁可以管理和使用密钥。
这也称为职责分离, 请务必确保某个用户没有 能够完成恶意操作。如需了解详情,请参阅 职责分离。
强制执行自动图片更新和补丁
确保您的工作站使用的是 Cloud Workstations 基础映像, 其中包含最新的安全补丁和修复程序。通过 运行超时 设置的值有助于确保创建的工作站 使用此配置将在下次会话时自动更新,以匹配 工作站配置中定义的容器映像的最新版本。
- 如果您的组织使用其中一个 Cloud Workstations 基础映像,
工作站会自动提取
工作站配置
已重新启动。设置
runningTimeout
或使用默认设置有助于确保这些工作站关闭。 - 如果贵组织使用的是自定义映像,请务必重新构建 定期生成图片我们建议您创建安全映像流水线,如以下部分所述。
为自定义映像创建安全映像流水线
您负责维护和更新在自定义映像中添加的自定义软件包和依赖项。
如果您要创建自定义图片,我们建议您执行以下操作:
在 Cloud Workstations 基础映像更新时自动重新构建这些映像,有助于保护您的映像流水线。
运行容器扫描工具(例如 Artifact Analysis),检查您添加的任何其他依赖项。
安排构建 每周重建映像,或者学习如何 自动重新构建容器映像。
设置 VPC 流日志
创建工作站集群时,Cloud 工作站会将该集群与特定子网相关联,并将所有工作站放置在该子网中。接收者 启用 VPC 流日志,请确保为 该子网如需了解详情,请参阅 为现有子网启用 VPC 流日志。