導入零信任機制

Google Cloud Well-Architected Framework 安全性支柱中的這項原則有助於確保雲端工作負載的全面安全性。零信任原則強調以下做法：

• 移除隱含信任
• 將最低權限原則套用至存取權控管
• 強制對所有存取要求進行明確驗證
• 採取「假設有違規行為」的態度，持續驗證並監控安全狀態

原則總覽

零信任模型將安全性重點從邊界式安全防護機制轉移至一種方法，在這種方法中，我們不會預設信任任何使用者或裝置。相反地，無論存取要求的來源為何，都必須進行驗證。這項做法包括驗證及授權每位使用者和裝置、驗證其情境 (位置和裝置狀態)，以及只授予必要資源的最低權限存取權。

導入零信任模型有助於貴機構降低潛在資安事件的影響，並保護機密資料和應用程式免於遭到未經授權的存取，進而強化安全防護機制。零信任模式有助於確保雲端資料和資源的機密性、完整性和可用性。

建議

如要為雲端工作負載導入零信任模式，請考慮採用下列各節中的建議：

• 保護網路安全
• 明確驗證每一次存取嘗試
• 監控及維護網路

保護網路安全

這項最佳化建議與下列重點領域相關：基礎架構安全性。

從傳統的邊界式安全防護機制轉換至零信任模型，需要多個步驟。貴機構可能已將特定零信任控管機制整合至安全防護設定。不過，零信任模型並非單一產品或解決方案。而是整合多層安全防護和最佳做法。本節將說明實作網路安全性零信任的最佳做法和技巧。

• 存取權控管：使用 Chrome Enterprise 進階版和 Identity-Aware Proxy (IAP) 等解決方案，根據使用者身分和情境強制執行存取權控管機制。這樣一來，您就能將安全性從網路邊界轉移至個別使用者和裝置。這種做法可實施精細的存取權控管，並減少攻擊面。
• 網路安全：保護地端部署、 Google Cloud和多雲端環境之間的網路連線。
  • 使用 Cloud Interconnect 和 IPsec VPN 提供的私人連線方法。
  • 如要確保 Google Cloud 服務和 API 的存取權，請使用 Private Service Connect。
  • 如要確保從在 GKE Enterprise 上部署的工作負載存取外部資源，請使用 Cloud Service Mesh 輸出閘道。
• 網路設計：刪除現有專案中的預設網路，並停用在新專案中建立預設網路的功能，以防範潛在的安全風險。
  • 為避免衝突，請仔細規劃網路和 IP 位址分配。
  • 為確實執行存取控制，請限制每個專案的虛擬私有雲 (VPC) 網路數量。
• 區隔：隔離工作負載，但維持集中式網路管理。
  • 如要區隔網路，請使用共用虛擬私有雲。
  • 在機構、資料夾和虛擬私有雲網路層級定義防火牆政策和規則。
  • 為防範資料外洩，請使用 VPC Service Controls，為機密資料和服務建立安全防護範圍。
• 外圍安全性：防範 DDoS 攻擊和網頁應用程式威脅。
  • 如要防範威脅，請使用 Google Cloud Armor。
  • 設定安全性政策，在Google Cloud 邊緣允許、拒絕或重新導向流量。
• 自動化：採用基礎架構即程式碼 (IaC) 原則，並使用 Terraform、Jenkins 和 Cloud Build 等工具，自動設定佈建基礎架構。IaC 可確保一致的安全性設定、簡化部署作業，並在發生問題時快速回復。
• 安全基礎：使用企業基礎藍圖建立安全的應用程式環境。本藍圖提供明確的指引和自動化指令碼，協助您實施安全性最佳做法，並安全地設定Google Cloud 資源。

明確驗證每一次存取嘗試

這項最佳化建議與下列重點領域相關：

• 身分與存取權管理
• 資安營運 (SecOps)
• 記錄、稽核和監控

針對任何嘗試存取雲端資源的使用者、裝置或服務，實作完善的驗證和授權機制。請勿將位置或網路邊界視為安全控管機制。請勿自動信任任何使用者、裝置或服務，即使對方已存在於網路內也一樣。相反地，每次嘗試存取資源時，都必須經過嚴格的驗證和授權程序。您必須導入強大的身分驗證措施，例如多重驗證 (MFA)。您也必須確保存取權決定是根據精細的政策做出，這些政策會考量使用者角色、裝置狀態和位置等各種情境因素。

如要實作這項建議，請使用下列方法、工具和技術：

• 統一身分管理：使用單一身分提供者 (IdP)，確保機構內部有一致的身分管理機制。
  • Google Cloud 支援與大多數 IdP 建立同盟，包括內部部署的 Active Directory。您可以透過聯盟擴充現有的身分管理基礎架構， Google Cloud 並為使用者啟用單一登入 (SSO)。
  • 如果您沒有現有的 IdP，建議使用 Cloud Identity 進階版或 Google Workspace。
• 服務帳戶權限受限：請謹慎使用服務帳戶，並遵守最低權限原則。
  • 只授予各服務帳戶執行指定工作所需的必要權限。
  • 針對在 Google Kubernetes Engine (GKE) 上執行或在Google Cloud 外執行的應用程式，使用Workload Identity Federation 來安全存取資源。
• 完善的程序：更新身分驗證程序，以符合雲端安全性最佳做法。
  • 為確保遵守法規規定，請實施身分控管機制，以便追蹤存取權、風險和違反政策的情形。
  • 請查看並更新現有的授予和稽核存取權控管角色和權限的程序。
• 嚴格驗證：為使用者驗證導入 SSO，並為特殊權限帳戶導入 MFA。
  • Google Cloud 支援各種 MFA 方法，包括 Titan 安全金鑰，可強化安全性。
  • 如要驗證工作負載，請使用 OAuth 2.0 或已簽署的 JSON Web Token (JWT)。
• 最低權限：透過強制執行最低權限原則和職務分離原則，盡可能降低未經授權存取和資料外洩的風險。
  • 避免過度佈建使用者存取權。
  • 建議您為敏感作業實作即時特殊權限。
• 記錄：為管理員和資料存取活動啟用稽核記錄。
  • 如要進行分析和威脅偵測，請使用 Security Command Center Enterprise 或 Google Security Operations 掃描記錄。
  • 設定適當的記錄檔保留政策，兼顧安全性需求與儲存空間費用。

監控及維護網路

這項最佳化建議與下列重點領域相關：

• 記錄、稽核和監控
• 應用程式安全防護
• 資安營運 (SecOps)
• 基礎架構安全性

規劃及實施安全防護措施時，請假設攻擊者已進入您的環境。這種主動式方法涉及使用下列多種工具和技巧，以便掌握網路的相關資訊：

• 集中記錄與監控：透過集中式記錄與監控功能，收集並分析所有雲端資源的安全性記錄。

  • 建立正常網路行為的基準、偵測異常狀況，以及識別潛在威脅。
  • 持續分析網路流量，識別可疑模式和潛在攻擊。

• 深入瞭解網路效能和安全性：使用網路分析器等工具。監控流量，查看是否有異常通訊協定、非預期的連線或資料傳輸量突然激增，這可能代表有惡意活動。

• 安全漏洞掃描和修復：定期掃描網路和應用程式，檢查是否有安全漏洞。

  • 使用 Web Security Scanner，這項工具可自動找出 Compute Engine 執行個體、容器和 GKE 叢集中的安全漏洞。
  • 請根據安全漏洞的嚴重程度，以及對系統的潛在影響，排定修復優先順序。

• 入侵偵測：使用 Cloud IDS 和 Cloud NGFW 入侵防範服務，監控網路流量是否有惡意活動，並自動封鎖可疑事件或接收相關警示。

• 安全分析：建議您導入 Google SecOps，以便連結來自不同來源的安全性事件、提供安全性快訊的即時分析，並協助事件應變作業。

• 一致的設定：使用設定管理工具，確保網路中的安全性設定一致。