Configura las prácticas recomendadas de seguridad

En esta página, se proporciona una descripción general de las prácticas recomendadas de seguridad para a aumentar la postura de seguridad y protección de datos en torno a tus Cloud Workstations. Esta no es una lista de tareas exhaustiva que garantice garantías de seguridad. reemplaza tus posturas de seguridad existentes.

El objetivo es ofrecerte una guía con las prácticas recomendadas de seguridad posibles con Cloud Workstations. Agrega estas recomendaciones a tu cartera de soluciones de seguridad en capas cuando corresponda, como parte de los esfuerzos para crear enfoque de seguridad. Un enfoque de seguridad en capas es uno de los principios de seguridad para ejecutar servicios seguros y que cumplan con las normativas en Google Cloud.

Segundo plano

El servicio de Cloud Workstations proporciona imágenes base predefinidas para su uso con el servicio. El servicio vuelve a compilar y publica estas imágenes semanalmente para ayudar a garantizar que el software empaquetado incluya los últimos parches de seguridad. Además, el servicio utiliza un valor predeterminado de running timeout en tu configuración de la estación de trabajo para asegurarte de que y las estaciones de trabajo se actualizan automáticamente, y las imágenes sin parches no permanecen activas.

Sin embargo, Google Cloud no posee todos los paquetes agrupados en estas imágenes. Los administradores de paquetes pueden priorizar las actualizaciones de manera diferente según la forma en que un error o las vulnerabilidades y exposiciones comunes (CVE) afectan su producto. Si un producto utiliza solo una parte de una biblioteca, es posible que no se vea afectada por los descubrimientos en otras partes de la biblioteca. Por este motivo, aunque los hallazgos de CVE en existen análisis de vulnerabilidades de nuestras imágenes, Cloud Workstations aún puede proporcionar una más seguro y protegido.

Cloud Workstations puede hacerlo porque proporciona autenticación y de autorización que ayude a garantizar que solo el desarrollador designado pueda acceder a su estación de trabajo. Al igual que con cualquier entorno de desarrollo, los desarrolladores deben y aplicar las prácticas recomendadas cuando usan su estación de trabajo. Para estar lo más seguro posible, ejecutar solo códigos de confianza, operar solo con entradas confiables y acceder solo a códigos de confianza dominios. Además, no se recomienda usar estaciones de trabajo para alojar servidores de producción o compartir una estación de trabajo con varios desarrolladores.

Si quieres tener más control sobre la seguridad de la red imágenes de estaciones de trabajo, también puedes crear tus imágenes de contenedor personalizadas.

Restringir el acceso a la red pública

Inhabilita las direcciones IP públicas en tus estaciones de trabajo con la configuración de tu estación de trabajo y configura reglas de firewall Limitación del acceso a destinos de Internet públicos que no se requieren para el trabajo diario desde Cloud Workstations. Si inhabilitas las direcciones IP públicas, debes configurar Acceso privado a Google o Cloud NAT en tu red. Si usas el Acceso privado a Google y usas private.googleapis.com o restricted.googleapis.com para Artifact Registry (o Container Registry), asegúrate de configurar registros DNS para dominios *.pkg.dev y *.gcr.io.

Restringir el acceso SSH directo

Asegúrate de restringir el acceso directo mediante SSH a las VMs en el proyecto que aloja tus Cloud Workstations para que el acceso solo sea posible a través de la puerta de enlace de Cloud Workstations, donde Identity and Access Management (IAM)) se aplican y Registros de flujo de VPC se pueden habilitar.

Para inhabilitar el acceso directo mediante SSH a la VM, ejecuta el siguiente comando de Google Cloud CLI:

    gcloud workstations configs update CONFIG \
        --cluster=CLUSTER \
        --region=REGION \
        --project=PROJECT \
        --disable-ssh-to-vm

Limita el acceso a recursos sensibles

Configura un Perímetro de servicio de los Controles del servicio de VPC para limitar el acceso a los recursos sensibles desde tus estaciones de trabajo, lo que evita el robo de código y datos.

Sigue el principio de privilegio mínimo

Sigue el principio de privilegio mínimo para los permisos y la asignación de recursos.

Permisos de IAM

Usa el configuración predeterminada de Identity and Access Management limitar el acceso a las estaciones de trabajo a un solo desarrollador. Esto ayuda a garantizar que cada desarrollador usa una instancia de estación de trabajo única con una VM subyacente distinta, lo que aumenta el aislamiento del entorno. Los editores de código de Cloud Workstations y aplicaciones se ejecutan dentro de un contenedor que se ejecuta en modo privilegiado y con para aumentar la flexibilidad de los desarrolladores. Esto proporciona una estación de trabajo única por desarrollador y ayuda a garantizar que, incluso si un usuario escapa de este contenedor, estaría dentro de la VM, no podría obtener acceso a ninguna recursos externos.

Configurar permisos de IAM para limitar el acceso de los usuarios que no son de administrador parámetros de configuración de las estaciones de trabajo e imágenes de contenedor en Artifact Registry.

Además, Google recomienda que configures los permisos de IAM limitando el acceso que no es de administrador a cualquiera de los recursos del proyecto que aloja tus Cloud Workstations.

Para obtener más información, consulta usar IAM de forma segura.

Permisos de Cloud KMS

Para respaldar mejor el principio de privilegio mínimo, te recomendamos que mantengas recursos de Cloud KMS y de Cloud Workstations proyectos de Google Cloud separados. Crea tu proyecto de claves de Cloud KMS sin un owner a nivel de proyecto y designarás Administrador de la organización se otorga a nivel de la organización. A diferencia de un owner, un Administrador de la organización no pueden administrar ni usar claves directamente. Se limitan a configurar políticas de IAM, que restringen quién puede administrar y usar las llaves.

Esto también se conoce como separación de obligaciones, que es el concepto de asegurarse de que una persona no tenga todos los permisos necesarios que pueden completar una acción maliciosa. Para obtener más información, consulta separación de obligaciones.

Aplicar actualizaciones y parches automáticos de imágenes

Asegúrate de que tus estaciones de trabajo usen la versión más reciente del Cloud Workstations imágenes base, que contiene los parches y las correcciones de seguridad más recientes. El tiempo de espera de ejecución en la configuración de tu estación de trabajo ayuda a garantizar que las estaciones de trabajo creadas esta configuración se actualizará automáticamente en la siguiente sesión para que coincida con el versión más reciente de la imagen del contenedor definida en la configuración de la estación de trabajo.

  • Si tu organización usa una de las imágenes base de Cloud Workstations, el recoge automáticamente las actualizaciones de la configuración de la estación de trabajo la próxima vez que esta se cierre y reiniciar. Parámetro de configuración runningTimeout, o el valor predeterminado, ayuda a garantizar que estas estaciones de trabajo se cierren.
  • Si tu organización usa una imagen personalizada, asegúrate de volver a compilar con regularidad. Te recomendamos Crea una canalización de imágenes segura como se describe en la siguiente sección.

Crea una canalización de imágenes segura para las imágenes personalizadas

Es responsable de mantener y actualizar los paquetes personalizados y dependencias agregadas a las imágenes personalizadas.

Si vas a crear imágenes personalizadas, te recomendamos lo siguiente:

Configura registros de flujo de VPC

Cuando creas un clúster de estación de trabajo, Cloud Workstations asocia el clúster con una subred en particular, y todas las estaciones de trabajo se colocan en esa subred. Para habilita los registros de flujo de VPC, asegúrate de activar los registros para esa subred. Para obtener más información, consulta Habilita los registros de flujo de VPC para una subred existente.