Mettre en place les bonnes pratiques de sécurité

Cette page présente les bonnes pratiques de sécurité recommandées pour renforcez la sécurité et la protection des données autour de vos stations Cloud Workstations. Cette liste n'est pas une checklist exhaustive garantissant les garanties de sécurité. remplacer vos stratégies de sécurité existantes.

L'objectif est de vous présenter les bonnes pratiques de sécurité possible par Cloud Workstations. Ajoutez ces recommandations à votre portfolio des solutions de sécurité, le cas échéant, dans le cadre de la création d'une votre approche en matière de sécurité. Une approche de sécurité multicouche est l'une des principes de sécurité permettant d'exécuter des services sécurisés et conformes sur Google Cloud.

Contexte

Le service Cloud Workstations fournit images de base prédéfinies à utiliser avec le service. Le service recompile et republie ces images chaque semaine aider à s’assurer que le logiciel intégré inclut les derniers correctifs de sécurité. De plus, le service utilise un délai d'exécution par défaut sur votre configuration de station de travail pour vous assurer stations de travail sont automatiquement mises à jour et que les images non corrigées ne restent pas en ligne.

Cependant, Google Cloud n'est pas propriétaire de tous les packages groupés dans ces images. Les gestionnaires de packages peuvent hiérarchiser les mises à jour différemment selon la façon dont un bogue ou les failles et expositions courantes (CVE) ont un impact sur leur produit. Si un produit n'utilise qu'une partie d'une bibliothèque, il est possible qu'elle ne soit pas affectée par les découvertes dans d'autres sections de la bibliothèque. C'est pourquoi, bien que les résultats des analyses de failles de nos images, Cloud Workstations est toujours en mesure de fournir produit sécurisé.

Cloud Workstations peut le faire, car il fournit un service d'authentification qui permet de s'assurer que seul le développeur désigné peut accéder à sa station de travail. Comme pour tout environnement de développement, appliquer les bonnes pratiques lors de l'utilisation de leur station de travail. Pour être aussi sécurisé que possible, exécuter uniquement du code fiable, fonctionner uniquement sur des entrées approuvées et accéder uniquement aux données de confiance domaines. De plus, il est déconseillé d'utiliser des stations de travail pour héberger des serveurs de production ou le partage d'une station de travail unique avec plusieurs développeurs.

Si vous souhaitez avoir davantage de contrôle sur la sécurité de stations de travail, vous pouvez aussi créer vos propres images de conteneurs personnalisées.

Restreindre l'accès au réseau public

Désactiver les adresses IP publiques sur vos stations de travail à l'aide de la configuration configurer des règles de pare-feu Limitation de l'accès aux destinations Internet publiques non requises pour le travail quotidien depuis Cloud Workstations. Si vous désactivez les adresses IP publiques, vous devez configurer Accès privé à Google ou Cloud NAT sur votre réseau. Si vous utilisez l'accès privé à Google et que vous utilisez private.googleapis.com ou restricted.googleapis.com pour Artifact Registry (ou Container Registry), assurez-vous de configurer des enregistrements DNS pour domaines *.pkg.dev et *.gcr.io.

Restreindre l'accès SSH direct

Veillez à limiter l'accès SSH direct aux VM du projet hébergeant vos stations Cloud Workstations, de sorte que l'accès ne soit possible que via la passerelle Cloud Workstations, où Identity and Access Management (IAM)) des stratégies sont appliquées et Journaux de flux VPC peuvent être activées.

Pour désactiver l'accès SSH direct à la VM, exécutez la commande Google Cloud CLI suivante:

    gcloud workstations configs update CONFIG \
        --cluster=CLUSTER \
        --region=REGION \
        --project=PROJECT \
        --disable-ssh-to-vm

Limiter l'accès aux ressources sensibles

Configurez un Périmètre de service VPC Service Controls pour limiter l'accès aux ressources sensibles depuis vos stations de travail, empêchant ainsi l'accès aux ressources du code et de l'exfiltration de données.

Suivez le principe du moindre privilège.

Suivez le principe du moindre privilège pour les autorisations et l'allocation de ressources.

Autorisations IAM

Utilisez les configuration par défaut du Identity and Access Management accès, limitant l'accès à la station de travail à un seul développeur. Cela permet de garantir que chaque le développeur utilise une instance de station de travail unique avec une VM sous-jacente distincte, ce qui renforce l'isolation de l'environnement. les éditeurs de code Cloud Workstations et les applications s'exécutent dans un conteneur s'exécutant en mode privilégié ce qui offre une plus grande flexibilité pour les développeurs. Ainsi, vous bénéficiez d'une station de travail unique par développeur et permet de s'assurer que même si un utilisateur s'échappe de ce conteneur, elle se trouverait toujours dans sa VM et ne pourra pas accéder à des ressources externes.

Configurez des autorisations IAM limitant l'accès non-administrateur pour modifier configurations de stations de travail et des images de conteneurs Artifact Registry :

De plus, Google vous recommande de configurer des autorisations IAM en limitant l'accès non-administrateur aux Compute Engine dans le projet hébergeant vos stations de travail Cloud Workstations.

Pour en savoir plus, consultez en toute sécurité à l'aide d'IAM.

Autorisations Cloud KMS

Pour mieux respecter le principe du moindre privilège, nous vous recommandons de conserver aux ressources Cloud KMS et Cloud Workstations projets Google Cloud distincts. Créer votre projet de clé Cloud KMS sans owner au niveau du projet, et spécifiez un Administrateur de l'organisation accordées au niveau de l'organisation. Contrairement à owner, Administrateur de l'organisation ne peuvent ni gérer, ni utiliser les clés directement. Ils se limitent à définir des stratégies IAM, qui limitent la gestion et l'utilisation des clés.

C'est ce qu'on appelle également la séparation des tâches,qui est le concept de s’assurer qu’une personne ne dispose pas de toutes les autorisations nécessaires pour être capable d'effectuer une action malveillante. Pour en savoir plus, consultez séparation des tâches.

Appliquer les mises à jour et les correctifs automatiques des images

Assurez-vous que vos stations de travail utilisent la dernière version Cloud Workstations images de base, qui contient les derniers correctifs de sécurité. La délai avant expiration de l'exécution sur la configuration de votre station de travail permet de s'assurer que les stations de travail créées avec cette configuration sont automatiquement mis à jour lors de la session suivante, pour correspondre à Dernière version de l'image de conteneur définie dans la configuration de la station de travail.

  • Si votre organisation utilise l'une des images de base Cloud Workstations, récupère automatiquement les mises à jour configuration de la station de travail la prochaine fois que la station de travail sera arrêtée et redémarré. Paramètre runningTimeout, ou l'utilisation de la valeur par défaut, permet de s'assurer que ces stations de travail sont arrêtées.
  • Si votre organisation utilise une image personnalisée, veillez à recompiler le régulièrement. Nous vous recommandons Créer un pipeline d'images sécurisé comme décrit dans la section suivante.

Créer un pipeline d'images sécurisé pour les images personnalisées

Vous êtes responsable de la maintenance et de la mise à jour des packages personnalisés de dépendances ajoutées aux images personnalisées.

Si vous créez des images personnalisées, nous vous recommandons de procéder comme suit:

Configurer les journaux de flux VPC

Lorsque vous créez un cluster de stations de travail, Cloud Workstations associe le cluster avec un sous-réseau particulier et toutes les stations de travail sont placées dans ce sous-réseau. À activer les journaux de flux VPC, veillez à activer la journalisation de ce sous-réseau. Pour en savoir plus, consultez Activez les journaux de flux VPC pour un sous-réseau existant.