Best Practices für die Sicherheit einrichten

Auf dieser Seite finden Sie einen Überblick über Best Practices für die Sicherheit, mit denen Sie die Sicherheit und den Datenschutz Ihrer Cloud-Arbeitsstationen verbessern können. Diese Liste ist keine umfassende Checkliste, die Sicherheitsgarantien bietet oder einen Ersatz für Ihre bestehenden Sicherheitsmaßnahmen darstellt.

Ziel ist es, Ihnen einen Leitfaden zu den Sicherheitsbest Practices zu bieten, die durch Cloud-Arbeitsstationen möglich sind. Fügen Sie diese Empfehlungen zu Ihrem im Rahmen der Entwicklung einer mehrschichtigen Sicherheitsansatz. Ein mehrstufiger Sicherheitsansatz Sicherheitsgrundsätze zum Ausführen sicherer und konformer Dienste in Google Cloud.

Hintergrund

Der Cloud Workstations-Dienst bietet vordefinierte Basis-Images für die Verwendung mit dem Dienst. Der Dienst erstellt diese Images wöchentlich neu, Sie tragen dazu bei, dass die Software im Paket die neuesten Sicherheitspatches enthält. Außerdem verwendet der Dienst einen Standardwert für das Zeitlimit für den laufenden Dienst in Ihrer Workstationkonfiguration, um dafür zu sorgen, dass Workstations automatisch aktualisiert werden und nicht gepatchte Images nicht online bleiben.

Google Cloud ist jedoch nicht Inhaber aller Pakete, die in diesen Images enthalten sind. Paketmanager können Updates unterschiedlich priorisieren, je nachdem, wie ein Fehler oder Schwachstellen und Schwachstellen (Common Vulnerabilities and Exposures, CVE) auch Auswirkungen auf ihr Produkt haben. Wenn für ein Produkt nur ein Teil einer Bibliothek verwendet wird, wirkt sich das möglicherweise nicht auf Entdeckungen in anderen Teilen der Bibliothek aus. Obwohl die CVE-Ergebnisse Es gibt Scans auf Sicherheitslücken unserer Images, aber Cloud Workstations kann trotzdem sicheres Produkt.

Cloud-Arbeitsstationen können dies, da sie ein Authentifizierungs- und Autorisierungssystem bieten, das dafür sorgt, dass nur der benannte Entwickler auf seine Workstation zugreifen kann. Wie bei jeder Entwicklungsumgebung sollten Entwickler:innen Best Practices bei der Nutzung ihrer Workstation anwenden. Um für größtmögliche Sicherheit zu sorgen, Nur vertrauenswürdigen Code ausführen, nur mit vertrauenswürdigen Eingaben arbeiten und nur auf vertrauenswürdige Eingaben zugreifen Domains. Außerdem sollten Sie Workstations nicht zum Hosten verwenden. Produktionsservern oder die gemeinsame Nutzung einer einzelnen Workstation mit mehreren Entwicklern.

Wenn Sie mehr Kontrolle über die Sicherheit der Workstation-Images erstellen. Sie können auch eigene benutzerdefinierte Container-Images.

Zugriff auf öffentliche Netzwerke einschränken

Deaktivieren Sie öffentliche IP-Adressen auf Ihren Workstations über die Workstation-Konfiguration und konfigurieren Sie Firewallregeln, die den Zugriff auf öffentliche Internetziele einschränken, die für die tägliche Arbeit nicht erforderlich sind. Wenn Sie öffentliche IP-Adressen deaktivieren, müssen Sie Privater Google-Zugriff oder Cloud NAT in Ihrem Netzwerk. Wenn Sie den privater Google-Zugriff verwenden und private.googleapis.com oder restricted.googleapis.com für Artifact Registry (oder Container Registry) verwenden, müssen Sie DNS-Einträge für Domains *.pkg.dev und *.gcr.io.

Direkten SSH-Zugriff einschränken

Beschränken Sie den direkten SSH-Zugriff auf VMs im Projekt, in dem Ihre Cloud Workstations gehostet werden, sodass der Zugriff nur über das Cloud Workstations-Gateway möglich ist, in dem IAM-Richtlinien (Identity and Access Management) erzwungen und VPC-Flow-Logs aktiviert werden können.

Führen Sie den folgenden Befehl der Google Cloud CLI aus, um den direkten SSH-Zugriff auf die VM zu deaktivieren:

    gcloud workstations configs update CONFIG \
        --cluster=CLUSTER \
        --region=REGION \
        --project=PROJECT \
        --disable-ssh-to-vm

Zugriff auf sensible Ressourcen beschränken

Richten Sie einen VPC Service Controls-Dienstperimeter ein, um den Zugriff auf sensible Ressourcen von Ihren Workstations aus einzuschränken und die Exfiltration von Quellcode und Daten zu verhindern.

Prinzip der geringsten Berechtigung anwenden

Beachten Sie bei Berechtigungen und Ressourcenzuweisung das Prinzip der geringsten Berechtigung.

IAM-Berechtigungen

Verwenden Sie die Standardkonfiguration für die Identitäts- und Zugriffsverwaltung, um den Workstation-Zugriff auf einen einzelnen Entwickler zu beschränken. So wird sichergestellt, eine eindeutige Workstationinstanz mit einer eigenen zugrunde liegenden VM verwendet. wodurch die Umgebungsisolation erhöht wird. Code-Editoren und ‑Anwendungen von Cloud Workstations werden in einem Container ausgeführt, der im privilegierten Modus und mit Root-Zugriff läuft. So haben Entwickler mehr Flexibilität. So erhalten Sie eine eindeutige Workstation pro Entwickler und können dafür sorgen, dass Nutzer, die diesen Container verlassen, sich weiterhin in ihrer VM befinden und keinen Zugriff auf zusätzliche externe Ressourcen erhalten.

IAM-Berechtigungen einrichten, die den Nicht-Administratorzugriff einschränken, um Änderungen vorzunehmen Workstationkonfigurationen und Container-Images auf Artifact Registry:

Darüber hinaus empfiehlt Google, dass Sie IAM-Berechtigungen einrichten Beschränkung des Zugriffs ohne Administrator auf die zugrunde liegenden Compute Engine Ressourcen im Projekt, das Ihre Cloud Workstations hostet.

Weitere Informationen finden Sie unter sichere Verwendung von IAM.

Cloud KMS-Berechtigungen

Um das Prinzip der geringsten Berechtigung besser zu unterstützen, sollten Sie Cloud KMS-Ressourcen und Cloud Workstations-Ressourcen in separaten Google Cloud-Projekten. Cloud KMS-Schlüsselprojekt erstellen ohne owner auf Projektebene und legen Sie Administrator der Organisation auf Organisationsebene gewährt. Im Gegensatz zu einem owner kann ein Organisationsadministrator Schlüssel nicht direkt verwalten oder verwenden. Sie sind auf das Festlegen von IAM-Richtlinien beschränkt, die einschränken, wer Schlüssel verwalten und verwenden kann.

Dies wird auch als Aufgabentrennung bezeichnet. Dabei soll verhindert werden, dass eine Person allein über alle Berechtigungen verfügt, die notwendig sind, um bösartige Aktionen ausführen zu können. Weitere Informationen finden Sie unter Aufgabentrennung.

Automatische Image-Updates und -Patches erzwingen

Achten Sie darauf, dass auf Ihren Workstations die neueste Version der Basis-Images für Cloud Workstations verwendet wird, die die neuesten Sicherheitspatches und ‑fixes enthält. Die Zeitüberschreitung bei Ausführung Ihrer Workstationkonfiguration ist sichergestellt, dass die erstellten Workstations mit dieser Konfiguration in der nächsten Sitzung automatisch aktualisiert, um dem neueste Version des in der Workstationkonfiguration definierten Container-Images.

  • Wenn Ihre Organisation eines der Basis-Images für Cloud Workstations verwendet, werden alle Updates an der Workstation-Konfiguration automatisch übernommen, wenn die Workstation das nächste Mal heruntergefahren und neu gestartet wird. Einstellung runningTimeout, oder die Standardeinstellung verwendet, wird dafür gesorgt, dass diese Workstations heruntergefahren werden.
  • Wenn Ihre Organisation ein benutzerdefiniertes Image verwendet, müssen Sie es regelmäßig neu erstellen. Wir empfehlen Ihnen, Sichere Image-Pipeline erstellen wie im folgenden Abschnitt beschrieben.

Sichere Image-Pipeline für benutzerdefinierte Images erstellen

Sie sind für die Verwaltung und Aktualisierung benutzerdefinierter Pakete und Abhängigkeiten, die benutzerdefinierten Images hinzugefügt wurden.

Wenn Sie benutzerdefinierte Images erstellen, empfehlen wir Folgendes:

VPC-Flusslogs einrichten

Wenn Sie einen Workstation-Cluster erstellen, ordnet Cloud Workstations den Cluster einem bestimmten Subnetz zu und alle Workstations werden in dieses Subnetz platziert. Wenn Sie VPC-Flusslogs aktivieren möchten, müssen Sie die Protokollierung für dieses Subnetz aktivieren. Weitere Informationen finden Sie unter Aktivieren Sie VPC-Flusslogs für ein vorhandenes Subnetz.