導入零信任機制

Google Cloud Well-Architected Framework 的安全支柱原則可協助您確保雲端工作負載的全面安全性。零信任原則強調下列做法：

• 排除自動信任
• 將最低權限原則套用至存取權控管
• 強制對所有存取要求進行明確驗證
• 採取「假設遭入侵」的心態，持續驗證並監控安全狀態

原則總覽

零信任模型會將安全防護重點從邊界式安全防護機制，轉移到不信任任何使用者或裝置的方法。無論存取要求來自何處，都必須經過驗證。這種方法包括驗證每位使用者和裝置的身分並授予授權、驗證情境 (位置和裝置狀態)，以及僅授予必要資源的最低權限存取權。

導入零信任模型有助於機構強化安全防護機制，盡量減少潛在入侵事件的影響，並防範未經授權的存取行為，保護機密資料和應用程式。零信任模型可協助確保雲端資料和資源的機密性、完整性和可用性。

建議

如要為雲端工作負載實作零信任模型，請參考下列各節的建議：

• 保護網路安全
• 明確驗證每次存取嘗試
• 監控及維護網路

保護網路安全

這項建議與下列重點領域相關：基礎架構安全性。

從傳統的邊界式安全防護機制轉移至零信任模型，需要多個步驟。貴機構可能已將特定零信任控管措施整合至安全防護設定。不過，零信任模型並非單一產品或解決方案，而是整合多個安全層和最佳做法。本節說明如何導入零信任網路安全防護機制，並提供相關建議和技術。

• 存取權控管：使用 Chrome Enterprise 進階版和 Identity-Aware Proxy (IAP) 等解決方案，根據使用者身分和情境強制執行存取權控管。這樣一來，您就能將安全防護從網路邊界轉移至個別使用者和裝置。這種做法可實現精細的存取權控管，並縮小攻擊面。
• 網路安全：保護地端部署、 Google Cloud和多雲端環境之間的網路連線。
  • 使用 Cloud Interconnect 和 IPsec VPN 的私人連線方法。
  • 如要確保服務和 API 的存取安全，請使用 Private Service Connect。 Google Cloud
  • 如要確保從 GKE Enterprise 部署的工作負載發出的連線安全無虞，請使用 Cloud Service Mesh 輸出閘道。
• 網路設計：刪除現有專案中的預設網路，並禁止在新專案中建立預設網路，以防範潛在的安全風險。
  • 為避免衝突，請仔細規劃網路和 IP 位址分配。
  • 為有效控管存取權，請限制每個專案的虛擬私有雲 (VPC) 網路數量。
• 區隔：隔離工作負載，但維持集中式網路管理。
  • 如要區隔網路，請使用共用虛擬私有雲。
  • 在機構、資料夾和虛擬私有雲網路層級定義防火牆政策和規則。
  • 如要防範資料竊取，請使用 VPC Service Controls，為機密資料和服務建立安全防護範圍。
• 邊界安全：防範分散式阻斷服務攻擊和網頁應用程式威脅。
  • 如要防範威脅，請使用 Google Cloud Armor。
  • 設定安全性政策，允許、拒絕或重新導向Google Cloud 邊緣的流量。
• 自動化：採用基礎架構即程式碼 (IaC) 原則，並使用 Terraform、Jenkins 和 Cloud Build 等工具，自動佈建基礎架構。IaC 有助於確保安全設定一致、簡化部署作業，並在發生問題時快速復原。
• 安全基礎：使用企業基礎藍圖建立安全的應用程式環境。這份藍圖提供規範性指引和自動化指令碼，協助您實作安全最佳做法，並安全地設定Google Cloud 資源。

明確驗證每次存取嘗試

這項建議與下列重點領域相關：

• 身分與存取權管理
• 資安營運 (SecOps)
• 記錄、稽核和監控

針對嘗試存取雲端資源的任何使用者、裝置或服務，實作完善的驗證與授權機制。請勿將位置或網路邊界做為安全控管機制。不要自動信任任何使用者、裝置或服務，即使對方已存在於網路內。而是每次嘗試存取資源時，都必須經過嚴格的驗證和授權。您必須導入高強度的身分驗證措施，例如多重驗證 (MFA)。此外，您也必須確保存取權決策是根據精細的政策，並考量各種情境因素，例如使用者角色、裝置狀態和位置。

如要實作這項建議，請使用下列方法、工具和技術：

• 統一身分管理：使用單一身分提供者 (IdP)，確保機構內的身分管理方式一致。
  • Google Cloud 支援與大多數 IdP 建立同盟，包括內部部署的 Active Directory。 透過聯盟，您可以將現有的身分管理基礎架構擴充至 Google Cloud ，並為使用者啟用單一登入 (SSO)。
  • 如果您沒有現有的 IdP，請考慮使用 Cloud Identity 進階版或 Google Workspace。
• 服務帳戶權限有限：請謹慎使用服務帳戶，並遵守最低權限原則。
  • 只授予每個服務帳戶執行指定工作所需的必要權限。
  • 對於在 Google Kubernetes Engine (GKE) 上執行或在Google Cloud 外部執行的應用程式，請使用工作負載身分聯盟安全存取資源。
• 完善的程序：更新身分識別程序，與雲端安全最佳做法保持一致。
  • 為確保遵守法規要求，請實作身分識別控管機制，追蹤存取權、風險和政策違規事項。
  • 請檢查並更新現有的程序，授予及稽核存取權控管角色和權限。
• 嚴格驗證：導入 SSO 進行使用者驗證，並為特殊權限帳戶導入 MFA。
  • Google Cloud 支援各種 MFA 方法，包括 Titan 安全金鑰，可提升安全性。
  • 如要進行工作負載驗證，請使用 OAuth 2.0 或已簽署的 JSON Web Token (JWT)。
• 最低權限：強制執行最低權限和職責分離原則，盡量降低未經授權存取和資料外洩的風險。
  • 避免過度佈建使用者存取權。
  • 考慮為敏感作業實作即時特殊權限存取權。
• 記錄：啟用管理員和資料存取活動的稽核記錄。
  • 如要進行分析和威脅偵測，請使用 Security Command Center Enterprise 或 Google Security Operations 掃描記錄。
  • 設定適當的記錄檔保留政策，兼顧安全性需求和儲存空間費用。

監控及維護網路

這項建議與下列重點領域相關：

• 記錄、稽核和監控
• 應用程式安全防護
• 資安營運 (SecOps)
• 基礎架構安全性

規劃及實施安全措施時，請假設攻擊者已入侵您的環境。這種主動式做法會使用下列多種工具和技術，提供網路的資訊透明度：

• 集中記錄與監控：透過集中式記錄與監控功能，收集及分析所有雲端資源的安全性記錄。

  • 建立正常網路行為的基準、偵測異常狀況，以及找出潛在威脅。
  • 持續分析網路流量，找出可疑模式和潛在攻擊。

• 深入瞭解網路效能和安全性：使用網路分析器等工具。監控流量，找出異常通訊協定、非預期連線或資料移轉量突然暴增的情況，這可能表示有惡意活動。

• 安全漏洞掃描和修復：定期掃描網路和應用程式，找出安全漏洞。

  • 使用 Web Security Scanner，自動找出 Compute Engine 執行個體、容器和 GKE 叢集中的安全漏洞。
  • 根據安全漏洞的嚴重程度，以及對系統的潛在影響，決定修復的優先順序。

• 入侵偵測：監控網路流量中的惡意活動，並使用 Cloud IDS 和 Cloud NGFW 入侵防範服務，自動封鎖可疑事件或接收相關警報。

• 安全分析：考慮導入 Google SecOps，關聯來自各種來源的安全事件、即時分析安全快訊，並簡化事件應變程序。

• 設定一致性：使用設定管理工具，確保網路安全設定一致。