Diese Seite bietet einen Überblick über Best Practices für die Sicherheit, die für den Sicherheits- und Datenschutz um Ihre Cloud Workstations zu verbessern. Diese Liste ist keine umfassende Checkliste, die Sicherheitsgarantien oder um Ihre bestehenden Sicherheitsmaßnahmen zu ersetzen.
Wir möchten Ihnen einen Leitfaden zu den Best Practices für die Sicherheit Cloud Workstations möglich. Diese Empfehlungen zu Ihrem Portfolio mit im Rahmen der Entwicklung einer mehrschichtigen Sicherheitsansatz. Ein mehrstufiger Sicherheitsansatz Sicherheitsgrundsätze zum Ausführen sicherer und konformer Dienste in Google Cloud.
Hintergrund
Der Cloud Workstations-Dienst bietet zur Verwendung vordefinierter Basis-Images mit dem Dienst. Der Dienst erstellt diese Images wöchentlich neu, Sie tragen dazu bei, dass die Software im Paket die neuesten Sicherheitspatches enthält. Darüber hinaus verwendet der Dienst einen Standardwert für das Zeitlimit für die Ausführung in Ihrem Workstationkonfiguration, um sicherzustellen, Workstations werden automatisch aktualisiert und nicht gepatchte Images bleiben nicht online.
Google Cloud ist jedoch nicht Inhaber aller Pakete, die in diesen Images enthalten sind. Paketmanager können Updates unterschiedlich priorisieren, je nachdem, wie ein Fehler oder Schwachstellen und Schwachstellen (Common Vulnerabilities and Exposures, CVE) auch Auswirkungen auf ihr Produkt haben. Wenn ein Produkt nur einen Teil einer Bibliothek verwendet, wird sie möglicherweise nicht durch Entdeckungen in anderen Teilen der Bibliothek. Obwohl die CVE-Ergebnisse Es gibt Scans auf Sicherheitslücken unserer Images, aber Cloud Workstations kann trotzdem sicheres Produkt.
Cloud Workstations kann dies tun, da es eine Authentifizierung und das dafür sorgt, dass nur der zuständige Entwickler auf ihre Workstation zugreifen. Wie bei jeder Entwicklungsumgebung sollten Entwickler:innen Best Practices bei der Nutzung ihrer Workstation anwenden. Um für größtmögliche Sicherheit zu sorgen, Nur vertrauenswürdigen Code ausführen, nur mit vertrauenswürdigen Eingaben arbeiten und nur auf vertrauenswürdige Eingaben zugreifen Domains. Außerdem sollten Sie Workstations nicht zum Hosten verwenden. Produktionsservern oder die gemeinsame Nutzung einer einzelnen Workstation mit mehreren Entwicklern.
Wenn Sie mehr Kontrolle über die Sicherheit der Workstation-Images erstellen. Sie können auch eigene benutzerdefinierte Container-Images.
Zugriff auf öffentliche Netzwerke einschränken
Öffentliche IP-Adressen deaktivieren
mit Ihrer Workstationkonfiguration und
Firewallregeln konfigurieren
Beschränkung des Zugriffs auf öffentliche Internetziele, die für die tägliche Arbeit nicht erforderlich sind
in Cloud Workstations.
Wenn Sie öffentliche IP-Adressen deaktivieren, müssen Sie
Privater Google-Zugriff
oder Cloud NAT in Ihrem Netzwerk.
Wenn Sie den privater Google-Zugriff verwenden und
private.googleapis.com
oder restricted.googleapis.com
für
Artifact Registry (oder Container Registry) verwenden, müssen Sie DNS-Einträge für
Domains
*.pkg.dev
und *.gcr.io
.
Direkten SSH-Zugriff einschränken
Achten Sie darauf, den direkten SSH-Zugriff auf VMs im Projekt einzuschränken, das Ihre Cloud Workstations hostet, damit der Zugriff nur über das Cloud Workstations-Gateway möglich ist. Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) durchgesetzt werden und VPC-Flusslogs aktiviert werden kann.
Führen Sie den folgenden Google Cloud CLI-Befehl aus, um den direkten SSH-Zugriff auf die VM zu deaktivieren:
gcloud workstations configs update CONFIG \ --cluster=CLUSTER \ --region=REGION \ --project=PROJECT \ --disable-ssh-to-vm
Zugriff auf sensible Ressourcen beschränken
Richten Sie ein VPC Service Controls-Dienstperimeter um den Zugriff von Ihren Workstations auf sensible Ressourcen zu beschränken, und Daten-Exfiltration.
Prinzip der geringsten Berechtigung anwenden
Folgen Sie dem Prinzip der geringsten Berechtigung für Berechtigungen und Ressourcenzuweisung.
IAM-Berechtigungen
Verwenden Sie die Methode Standardkonfiguration für Identity and Access Management, Workstation-Zugriff auf nur einen Entwickler beschränken. So wird sichergestellt, dass alle eine eindeutige Workstationinstanz mit einer eigenen zugrunde liegenden VM verwendet. wodurch die Umgebungsisolation erhöht wird. Cloud Workstations-Codeeditoren und Anwendungen, die in einem Container im privilegierten Modus und mit Root ausgeführt werden für mehr Flexibilität bei der Entwicklung. Dies bietet eine einzigartige Workstation, pro Entwickler. Dadurch wird sichergestellt, dass auch dann, wenn ein Nutzer diesen Container verlässt, wären sie immer noch in ihrer VM und können nicht mehr auf zusätzliche externen Ressourcen.
IAM-Berechtigungen einrichten, die den Nicht-Administratorzugriff einschränken, um Änderungen vorzunehmen Workstationkonfigurationen und Container-Images auf Artifact Registry:
Darüber hinaus empfiehlt Google, dass Sie IAM-Berechtigungen einrichten Beschränkung des Zugriffs ohne Administrator auf die zugrunde liegenden Compute Engine Ressourcen im Projekt, das Ihre Cloud Workstations hostet.
Weitere Informationen finden Sie unter sichere Verwendung von IAM.
Cloud KMS-Berechtigungen
Um das Prinzip der geringsten Berechtigung besser zu unterstützen, sollten Sie
Cloud KMS-Ressourcen und Cloud Workstations-Ressourcen in
separaten Google Cloud-Projekten. Cloud KMS-Schlüsselprojekt erstellen
ohne owner
auf Projektebene und legen Sie
Administrator der Organisation
auf Organisationsebene gewährt.
Im Gegensatz zu owner
ist ein
Administrator der Organisation
die Sie nicht verwalten oder verwenden können,
Schlüssel direkt hinzufügen. Sie sind auf das Festlegen
von IAM-Richtlinien beschränkt,
die einschränken, wer Schlüssel verwalten und verwenden kann.
Dies wird auch als Aufgabentrennung bezeichnet,also das Konzept der dass eine Person nicht über alle erforderlichen Berechtigungen verfügt, eine bösartige Aktion ausführen. Weitere Informationen finden Sie unter Aufgabentrennung.
Automatische Image-Updates und -Patches erzwingen
Achten Sie darauf, dass auf Ihren Workstations die neueste Version der Cloud Workstations Basis-Images Dort finden Sie die neuesten Sicherheits-Patches und Fehlerkorrekturen. Die Zeitüberschreitung bei Ausführung Ihrer Workstationkonfiguration ist sichergestellt, dass die erstellten Workstations mit dieser Konfiguration in der nächsten Sitzung automatisch aktualisiert, um dem aktuelle Version des in der Workstationkonfiguration definierten Container-Images.
- Wenn Ihre Organisation eines der Cloud Workstations-Basis-Images verwendet,
Workstation automatisch alle Updates für den
Konfiguration der Workstations konfigurieren, wenn die Workstation das nächste Mal heruntergefahren wird und
neu gestartet. Einstellung
runningTimeout
, oder die Standardeinstellung verwendet, wird dafür gesorgt, dass diese Workstations heruntergefahren werden. - Wenn Ihre Organisation ein benutzerdefiniertes Image verwendet, müssen Sie das regelmäßig hochladen. Wir empfehlen Ihnen, Sichere Image-Pipeline erstellen wie im folgenden Abschnitt beschrieben.
Sichere Image-Pipeline für benutzerdefinierte Images erstellen
Sie sind für die Verwaltung und Aktualisierung benutzerdefinierter Pakete und Abhängigkeiten, die benutzerdefinierten Images hinzugefügt wurden.
Wenn Sie benutzerdefinierte Images erstellen, empfehlen wir Folgendes:
So schützen Sie Ihr Image-Pipeline durch die automatische Neuerstellung dieser Images, wenn das Cloud Workstations-Basis-Image wird aktualisiert.
Führen Sie ein Container-Scantool wie Artefaktanalyse um alle zusätzlichen Abhängigkeiten zu überprüfen, die Sie hinzugefügt haben.
Builds planen wie Sie Bilder wöchentlich neu erstellen die Neuerstellung von Container-Images zu automatisieren.
VPC-Flusslogs einrichten
Wenn Sie einen Workstationcluster erstellen, verknüpft Cloud Workstations den Cluster mit einem bestimmten Subnetz und alle Workstations in diesem Subnetz. Bis Aktivieren Sie VPC-Flusslogs und aktivieren Sie Logging für in diesem Subnetz. Weitere Informationen finden Sie unter Aktivieren Sie VPC-Flusslogs für ein vorhandenes Subnetz.