设置最佳安全做法

本页面将简要介绍安全性最佳实践， 提升 Cloud Workstations 工作站的安全和数据保护状况。 此列表并非一份旨在确保安全性的全面核对清单， 以替代您现有的安全状况。

目的是为您提供安全最佳实践指南 Cloud Workstations 打造的工作负载。将这些建议添加到您的产品组合 安全解决方案（如果适用），以构建分层式安全防护解决方案， 安全方法。分层式安全方法是 安全原则 如何在 Google Cloud 上运行安全合规的服务。

背景

Cloud Workstations 服务 预定义的基础映像以供使用 。该服务每周都会重新构建和重新发布这些映像， 帮助确保捆绑的软件包含最新的安全补丁。 此外，该服务会在您的 工作站配置 工作站会自动更新，且未修补的映像不会保持活跃状态。

但是，Google Cloud 并不拥有这些映像中捆绑的所有软件包。 软件包管理器可能会根据 bug 或 常见漏洞和风险 (CVE) 会影响其产品。如果某个产品 只使用库的一部分，因此它可能不受 库的其他部分因此，尽管 Cloud Workstations 仍能提供 安全产品。

Cloud Workstations 之所以能够做到这一点，是因为它能够提供身份验证和 一种授权系统，有助于确保只有指定的开发者 访问其工作站。与任何开发环境一样，开发者应 遵循最佳实践。为了尽可能确保安全性 仅运行可信代码、仅对可信输入执行操作、仅访问可信输入 网域。此外，不建议使用工作站来托管 生产服务器，或与多个开发者共享单个工作站。

如果您想更好地控制贵组织的账号安全， 也可以创建自己的工作站映像 自定义容器映像。

限制公共网络访问

停用公共 IP 地址 使用工作站配置和 配置防火墙规则 限制日常工作无需访问的公共互联网目的地 Cloud Workstations 如果停用公共 IP 地址，则必须设置 专用 Google 访问通道 或 Cloud NAT。 如果您使用专用 Google 访问通道，并且 private.googleapis.com或restricted.googleapis.com： Artifact Registry（或 Container Registry）时，请确保您已为 域名 *.pkg.dev和*.gcr.io。

限制直接 SSH 访问

请务必限制对托管 Cloud Workstations 工作站的项目中的虚拟机进行直接 SSH 访问，以便只能通过 Cloud Workstations 网关进行访问， Identity and Access Management (IAM) 政策的执行情况 VPC 流日志 可以启用。

如需停用对虚拟机的直接 SSH 访问权限，请运行以下 Google Cloud CLI 命令：

    gcloud workstations configs update CONFIG \
        --cluster=CLUSTER \
        --region=REGION \
        --project=PROJECT \
        --disable-ssh-to-vm

限制对敏感资源的访问权限

设置 VPC Service Controls 服务边界 限制工作站对敏感资源的访问，防止源服务器 代码和数据渗漏。

遵循最小权限原则

在权限和资源分配时，请遵循最小权限原则。

IAM 权限

使用 默认 Identity and Access Management 配置， 仅限单个开发者访问工作站。这有助于确保 开发者使用具有独特底层虚拟机的唯一工作站实例， 加强环境隔离Cloud Workstations 代码编辑器和 应用都在以特权模式运行的容器中以 root 权限运行 以提高开发者灵活性这提供了一个独特的工作站 并有助于确保即使用户离开此容器， 他们仍然位于他们的虚拟机内，无法访问 外部资源

设置 IAM 权限，限制非管理员进行修改 工作站配置 以及容器映像 Artifact Registry。

此外，Google 还建议您设置 IAM 权限 限制非管理员对任何底层 Compute Engine 的访问 托管 Cloud Workstations 的项目中的资源。

如需了解详情，请参阅 安全地使用 IAM。

Cloud KMS 权限

为了更好地支持最小权限原则，我们建议您保留 Cloud KMS 资源和 Cloud Workstations 资源 独立的 Google Cloud 项目。创建 Cloud KMS 密钥项目 在项目级没有 owner，并指定 Organization Admin 是在组织级别授予的。 与 owner 不同， Organization Admin 无法管理或使用 键。它们只能设置 IAM 政策 以限制谁可以管理和使用密钥。

这也称为职责分离， 请务必确保某个用户没有 能够完成恶意操作。如需了解详情，请参阅 职责分离。

强制执行自动映像更新和修补

确保您的工作站使用的是 Cloud Workstations 基础映像， 其中包含最新的安全补丁和修复程序。通过 运行超时 设置的值有助于确保创建的工作站 此配置会在下一次会话时自动更新，以匹配 工作站配置中定义的容器映像的最新版本。

• 如果您的组织使用其中一个 Cloud Workstations 基础映像， 工作站会自动提取 工作站配置 已重新启动。设置 runningTimeout, 或使用默认值，有助于确保这些工作站已关停。
• 如果贵组织使用的是自定义映像，请务必重新构建 定期生成图片我们建议您 创建安全映像流水线 如以下部分所述。

为自定义映像创建安全映像流水线

您负责维护和更新自定义软件包， 依赖项

如果您要创建自定义映像，建议您采取以下措施：

• 帮助保护您的 映像流水线 Cloud Workstations 基础映像 已更新。

• 运行容器扫描工具，例如 Artifact Analysis 以检查您添加的任何其他依赖项。

• 安排构建 每周重建映像，或者学习如何 自动重新构建容器映像。

设置 VPC 流日志

创建工作站集群时，Cloud Workstations 会将该集群 具有特定子网的所有工作站，并且所有工作站都放置在该子网中。接收者 启用 VPC 流日志，请确保为 该子网如需了解详情，请参阅 为现有子网启用 VPC 流日志。