Cette page présente les bonnes pratiques de sécurité recommandées pour renforcez la sécurité et la protection des données autour de vos stations Cloud Workstations. Cette liste n'est pas une checklist exhaustive garantissant les garanties de sécurité. remplacer vos stratégies de sécurité existantes.
L'objectif est de vous présenter les bonnes pratiques de sécurité possible par Cloud Workstations. Ajoutez ces recommandations à votre portfolio des solutions de sécurité, le cas échéant, dans le cadre de la création d'une votre approche en matière de sécurité. Une approche de sécurité multicouche est l'une des principes de sécurité permettant d'exécuter des services sécurisés et conformes sur Google Cloud.
Contexte
Le service Cloud Workstations fournit images de base prédéfinies à utiliser avec le service. Le service recompile et republie ces images chaque semaine aider à s’assurer que le logiciel intégré inclut les derniers correctifs de sécurité. De plus, le service utilise un délai d'exécution par défaut sur votre configuration de station de travail pour vous assurer stations de travail sont automatiquement mises à jour et que les images non corrigées ne restent pas en ligne.
Cependant, Google Cloud n'est pas propriétaire de tous les packages groupés dans ces images. Les gestionnaires de packages peuvent hiérarchiser les mises à jour différemment selon la façon dont un bogue ou les failles et expositions courantes (CVE) ont un impact sur leur produit. Si un produit n'utilise qu'une partie d'une bibliothèque, il est possible qu'elle ne soit pas affectée par les découvertes dans d'autres sections de la bibliothèque. C'est pourquoi, bien que les résultats des analyses de failles de nos images, Cloud Workstations est toujours en mesure de fournir produit sécurisé.
Cloud Workstations peut le faire, car il fournit un service d'authentification qui permet de s'assurer que seul le développeur désigné peut accéder à sa station de travail. Comme pour tout environnement de développement, appliquer les bonnes pratiques lors de l'utilisation de leur station de travail. Pour être aussi sécurisé que possible, exécuter uniquement du code fiable, fonctionner uniquement sur des entrées approuvées et accéder uniquement aux données de confiance domaines. De plus, il est déconseillé d'utiliser des stations de travail pour héberger des serveurs de production ou le partage d'une station de travail unique avec plusieurs développeurs.
Si vous souhaitez avoir davantage de contrôle sur la sécurité de stations de travail, vous pouvez aussi créer vos propres images de conteneurs personnalisées.
Restreindre l'accès au réseau public
Désactiver les adresses IP publiques
sur vos stations de travail à l'aide de la configuration
configurer des règles de pare-feu
Limitation de l'accès aux destinations Internet publiques non requises pour le travail quotidien
depuis Cloud Workstations.
Si vous désactivez les adresses IP publiques, vous devez configurer
Accès privé à Google
ou Cloud NAT sur votre réseau.
Si vous utilisez l'accès privé à Google et que vous utilisez
private.googleapis.com
ou restricted.googleapis.com
pour
Artifact Registry (ou Container Registry), assurez-vous de configurer des enregistrements DNS pour
domaines
*.pkg.dev
et *.gcr.io
.
Restreindre l'accès SSH direct
Veillez à limiter l'accès SSH direct aux VM du projet hébergeant vos stations Cloud Workstations, de sorte que l'accès ne soit possible que via la passerelle Cloud Workstations, où Identity and Access Management (IAM)) des stratégies sont appliquées et Journaux de flux VPC peuvent être activées.
Pour désactiver l'accès SSH direct à la VM, exécutez la commande Google Cloud CLI suivante:
gcloud workstations configs update CONFIG \ --cluster=CLUSTER \ --region=REGION \ --project=PROJECT \ --disable-ssh-to-vm
Limiter l'accès aux ressources sensibles
Configurez un Périmètre de service VPC Service Controls pour limiter l'accès aux ressources sensibles depuis vos stations de travail, empêchant ainsi l'accès aux ressources du code et de l'exfiltration de données.
Suivez le principe du moindre privilège.
Suivez le principe du moindre privilège pour les autorisations et l'allocation de ressources.
Autorisations IAM
Utilisez les configuration par défaut du Identity and Access Management accès, limitant l'accès à la station de travail à un seul développeur. Cela permet de garantir que chaque le développeur utilise une instance de station de travail unique avec une VM sous-jacente distincte, ce qui renforce l'isolation de l'environnement. les éditeurs de code Cloud Workstations et les applications s'exécutent dans un conteneur s'exécutant en mode privilégié ce qui offre une plus grande flexibilité pour les développeurs. Ainsi, vous bénéficiez d'une station de travail unique par développeur et permet de s'assurer que même si un utilisateur s'échappe de ce conteneur, elle se trouverait toujours dans sa VM et ne pourra pas accéder à des ressources externes.
Configurez des autorisations IAM limitant l'accès non-administrateur pour modifier configurations de stations de travail et des images de conteneurs Artifact Registry :
De plus, Google vous recommande de configurer des autorisations IAM en limitant l'accès non-administrateur aux Compute Engine dans le projet hébergeant vos stations de travail Cloud Workstations.
Pour en savoir plus, consultez en toute sécurité à l'aide d'IAM.
Autorisations Cloud KMS
Pour mieux respecter le principe du moindre privilège, nous vous recommandons de conserver
aux ressources Cloud KMS et Cloud Workstations
projets Google Cloud distincts. Créer votre projet de clé Cloud KMS
sans owner
au niveau du projet, et spécifiez un
Administrateur de l'organisation
accordées au niveau de l'organisation.
Contrairement à owner
,
Administrateur de l'organisation
ne peuvent ni gérer, ni utiliser
les clés directement. Ils se limitent à définir des stratégies IAM,
qui limitent la gestion et l'utilisation des clés.
C'est ce qu'on appelle également la séparation des tâches,qui est le concept de s’assurer qu’une personne ne dispose pas de toutes les autorisations nécessaires pour être capable d'effectuer une action malveillante. Pour en savoir plus, consultez séparation des tâches.
Appliquer les mises à jour et les correctifs automatiques des images
Assurez-vous que vos stations de travail utilisent la dernière version Cloud Workstations images de base, qui contient les derniers correctifs de sécurité. La délai avant expiration de l'exécution sur la configuration de votre station de travail permet de s'assurer que les stations de travail créées avec cette configuration sont automatiquement mis à jour lors de la session suivante, pour correspondre à Dernière version de l'image de conteneur définie dans la configuration de la station de travail.
- Si votre organisation utilise l'une des images de base Cloud Workstations,
récupère automatiquement les mises à jour
configuration de la station de travail la prochaine fois que la station de travail sera arrêtée et
redémarré. Paramètre
runningTimeout
, ou l'utilisation de la valeur par défaut, permet de s'assurer que ces stations de travail sont arrêtées. - Si votre organisation utilise une image personnalisée, veillez à recompiler le régulièrement. Nous vous recommandons Créer un pipeline d'images sécurisé comme décrit dans la section suivante.
Créer un pipeline d'images sécurisé pour les images personnalisées
Vous êtes responsable de la maintenance et de la mise à jour des packages personnalisés de dépendances ajoutées aux images personnalisées.
Si vous créez des images personnalisées, nous vous recommandons de procéder comme suit:
Sécurisez votre Pipeline d'images en recompilant automatiquement ces images lorsque l'image de base Cloud Workstations est mis à jour.
Exécutez un outil d'analyse de conteneurs Artifact Analysis pour inspecter toutes les dépendances supplémentaires que vous avez ajoutées.
Planifier des compilations pour recréer des images chaque semaine, ou apprenez à d'automatiser la recompilation des images de conteneurs.
Configurer les journaux de flux VPC
Lorsque vous créez un cluster de stations de travail, Cloud Workstations associe le cluster avec un sous-réseau particulier et toutes les stations de travail sont placées dans ce sous-réseau. À activer les journaux de flux VPC, veillez à activer la journalisation de ce sous-réseau. Pour en savoir plus, consultez Activez les journaux de flux VPC pour un sous-réseau existant.