Google Cloud 架构完善框架的安全支柱中的这一原则可帮助您确保云工作负载的全面安全性。零信任原则强调以下实践:
- 消除隐式信任
- 将最小权限原则应用于访问权限控制
- 强制对所有访问请求进行明确验证
- 采用假设已遭入侵的心态,以实现持续验证和安全状况监控
原则概览
零信任模型将安全重点从基于边界的安全措施转移到一种不认为任何用户或设备天生值得信任的方法。相反,无论访问请求来自何处,都必须进行验证。此方法涉及对每个用户和设备进行身份验证和授权,验证其上下文(位置和设备姿态),并仅授予对必要资源的最小权限访问权限。
实施零信任模型有助于组织增强安全状况,具体做法是最大限度地减少潜在违规行为的影响,并保护敏感数据和应用免遭未经授权的访问。零信任模型有助于确保云端数据和资源的保密性、完整性和可用性。
建议
如需为云工作负载实现零信任模型,请考虑以下部分中的建议:
保护您的网络
此建议与以下重点领域相关:基础架构安全性。
从传统的基于边界的安全措施过渡到零信任模型需要多个步骤。您的组织可能已将某些零信任控制措施纳入其安全态势。不过,零信任模型并非单一的产品或解决方案。相反,它全面整合了多个安全层和最佳实践。本部分介绍有关实现零信任网络安全的建议和技巧。
- 访问权限控制:使用 Chrome Enterprise 进阶版和 Identity-Aware Proxy (IAP) 等解决方案,根据用户身份和情境强制执行访问权限控制。这样一来,您就可以将安全性从网络边界转移至各个用户和设备。这种方法可实现精细的访问权限控制并缩小攻击面。
- 网络安全:保护本地、 Google Cloud和多云环境之间的网络连接。
- 使用 Cloud Interconnect 和 IPsec VPN 提供的专用连接方法。
- 为了帮助确保对 Google Cloud 服务和 API 的访问安全,请使用 Private Service Connect。
- 为了帮助保护从部署在 GKE Enterprise 上的工作负载发出的出站流量,请使用 Cloud Service Mesh 出站流量网关。
- 网络设计:删除现有项目中的默认网络,并禁止在新项目中创建默认网络,以防范潜在的安全风险。
- 为避免冲突,请仔细规划网络和 IP 地址分配。
- 为了有效强制执行访问权限控制,请限制每个项目的 Virtual Private Cloud (VPC) 网络数量。
- 分段:隔离工作负载,但保持集中式网络管理。
- 如需细分网络,请使用共享 VPC。
- 在组织、文件夹和 VPC 网络级层定义防火墙政策和规则。
- 如需防止数据渗漏,请使用 VPC Service Controls 围绕敏感数据和服务建立安全边界。
- 边界安全:防范 DDoS 攻击和 Web 应用威胁。
- 如需防范威胁,请使用 Google Cloud Armor。
- 配置安全政策,以允许、拒绝或重定向Google Cloud 边缘的流量。
- 自动化:采用基础架构即代码 (IaC) 原则并使用 Terraform、Jenkins 和 Cloud Build 等工具,实现基础设施预配自动化。 Iac 有助于确保安全配置的一致性、简化部署,并在出现问题时快速回滚。
- 安全基础:使用企业基础蓝图建立安全的应用环境。此蓝图提供规范性指导和自动化脚本,可帮助您实现安全最佳实践并安全地配置Google Cloud 资源。
明确验证每次访问尝试
此建议与以下重点领域相关:
- 身份和访问权限管理
- 安全运维 (SecOps)
- 日志记录、审核和监控
针对尝试访问您的云资源的任何用户、设备或服务,实施强大的身份验证和授权机制。不要依赖位置或网络边界作为安全控制措施。不自动信任任何用户、设备或服务,即使它们已经位于网络内也是如此。相反,每次尝试访问资源时都必须经过严格的身份验证和授权。您必须实施高强度的身份验证措施,例如多重身份验证 (MFA)。您还必须确保访问权限的授予取决于细粒度的政策,这些政策会考虑各种情境因素,例如用户角色、设备姿态和位置。
如需实施此建议,请使用以下方法、工具和技术:
- 统一身份管理:使用单一身份提供方 (IdP) 确保整个组织内的身份管理保持一致。
- Google Cloud 支持与大多数 IdP(包括本地 Active Directory)进行联合。 通过联合,您可以将现有的身份管理基础架构扩展到 Google Cloud ,并为用户启用单点登录 (SSO)。
- 如果您没有现成的 IdP,不妨考虑使用 Cloud Identity 专业版或 Google Workspace。
- 服务账号权限有限:请谨慎使用服务账号,并遵守最小权限原则。
- 仅授予每个服务账号执行指定任务所需的必要权限。
- 对于在 Google Kubernetes Engine (GKE) 上运行或在Google Cloud 外部运行的应用,请使用 Workload Identity Federation 来安全地访问资源。
- 完善的流程:更新您的身份流程,使其符合云安全最佳实践。
- 为帮助确保符合法规要求,请实施身份治理来跟踪访问权限、风险和违反政策的行为。
- 查看并更新您现有的流程,以便授予和审核访问权限控制角色和权限。
- 增强型身份验证:为用户身份验证实现 SSO,并为特权账号实现 MFA。
- Google Cloud 支持各种 MFA 方法,包括 Titan 安全密钥,以增强安全性。
- 对于工作负载身份验证,请使用 OAuth 2.0 或签名的 JSON Web 令牌 (JWT)。
- 最小权限:通过强制执行最小权限和职责分离原则,最大限度地降低未经授权的访问和数据泄露风险。
- 避免过度配置用户访问权限。
- 考虑为敏感操作实现即时特权访问权限。
- 日志记录:启用管理员和数据访问活动的审核日志记录。
- 如需进行分析和威胁检测,请使用 Security Command Center Enterprise 或 Google Security Operations 扫描日志。
- 配置适当的日志保留政策,以在安全需求和存储费用之间取得平衡。
监控和维护网络
此建议与以下重点领域相关:
- 日志记录、审核和监控
- 应用安全
- 安全运维 (SecOps)
- 基础架构安全
在规划和实施安全措施时,请假设攻击者已进入您的环境。这种主动式方法涉及使用以下多种工具和技术来提供网络的可视性:
集中日志记录和监控:通过集中式日志记录和监控,收集并分析所有云资源的安全日志。
- 为正常网络行为建立基准,检测异常情况,并识别潜在威胁。
- 持续分析网络流量,以识别可疑模式和潜在攻击。
深入了解网络性能和安全性:使用网络分析器等工具。 监控流量,查看是否存在异常协议、意外连接或数据传输突然激增的情况,这些情况可能表明存在恶意活动。
漏洞扫描和修复:定期扫描网络和应用是否存在漏洞。
- 使用 Web Security Scanner,该工具可以自动识别 Compute Engine 实例、容器和 GKE 集群中的漏洞。
- 根据漏洞的严重程度及其对系统的潜在影响,确定修复工作的优先顺序。
入侵检测:使用 Cloud IDS 和 Cloud NGFW 入侵防御服务监控网络流量中的恶意活动,并自动阻止可疑事件或针对可疑事件获取提醒。
安全分析:考虑实施 Google SecOps,以关联来自各种来源的安全事件、提供安全提醒的实时分析,并促进突发事件响应。
一致的配置:使用配置管理工具确保整个网络中的安全配置保持一致。