Halaman ini memberikan ringkasan praktik terbaik keamanan yang direkomendasikan untuk meningkatkan postur keamanan dan perlindungan data di sekitar Cloud Workstations Anda. Daftar ini bukan checklist komprehensif yang memastikan jaminan keamanan, atau pengganti postur keamanan Anda yang ada.
Tujuannya adalah memberi Anda panduan tentang praktik terbaik keamanan yang dapat dilakukan oleh Cloud Workstations. Tambahkan rekomendasi ini ke portofolio solusi keamanan Anda jika berlaku, sebagai bagian dari upaya untuk membangun pendekatan keamanan berlapis. Pendekatan keamanan berlapis adalah salah satu prinsip keamanan inti untuk menjalankan layanan yang aman dan sesuai standar di Google Cloud.
Latar belakang
Layanan Cloud Workstations menyediakan image dasar yang telah ditentukan sebelumnya untuk digunakan dengan layanan tersebut. Layanan ini membangun ulang dan memublikasikan ulang image ini setiap minggu untuk membantu memastikan bahwa software yang dibundel menyertakan patch keamanan terbaru. Selain itu, layanan ini menggunakan nilai waktu tunggu berjalan default pada konfigurasi workstation Anda untuk membantu memastikan bahwa workstation diperbarui secara otomatis dan image yang belum di-patch tidak tetap aktif.
Namun, Google Cloud tidak memiliki semua paket yang digabungkan ke dalam image ini. Pengelola paket mungkin memprioritaskan update secara berbeda, bergantung pada dampak bug atau kerentanan dan eksposur umum (CVE) terhadap produk mereka. Jika produk hanya menggunakan sebagian library, produk tersebut mungkin tidak terpengaruh oleh penemuan di bagian lain library. Oleh karena itu, meskipun temuan CVE dari pemindaian kerentanan gambar kami ada, Cloud Workstations tetap dapat menyediakan produk yang aman.
Cloud Workstations dapat melakukannya karena menyediakan sistem autentikasi dan otorisasi yang membantu memastikan bahwa hanya developer yang ditetapkan yang dapat mengakses workstation mereka. Seperti lingkungan pengembangan lainnya, developer harus menerapkan praktik terbaik saat menggunakan workstation mereka. Agar seaman mungkin, jalankan hanya kode tepercaya, beroperasi hanya pada input tepercaya, dan akses hanya domain tepercaya. Selain itu, Anda tidak disarankan menggunakan workstation untuk menghosting server produksi, atau membagikan satu workstation kepada beberapa developer.
Jika ingin memiliki kontrol lebih besar atas keamanan image workstation organisasi Anda, Anda juga dapat membuat image container yang disesuaikan sendiri.
Membatasi akses jaringan publik
Nonaktifkan alamat IP publik
di workstation Anda menggunakan konfigurasi workstation dan
konfigurasi aturan firewall
yang membatasi akses ke tujuan internet publik yang tidak diperlukan untuk pekerjaan sehari-hari
dari dalam Cloud Workstations.
Jika menonaktifkan alamat IP publik, Anda harus menyiapkan
Akses Google Pribadi
atau Cloud NAT di jaringan Anda.
Jika Anda menggunakan Akses Google Pribadi dan menggunakan
private.googleapis.com atau restricted.googleapis.com untuk
Artifact Registry, pastikan Anda menyiapkan data DNS untuk
domain
*.pkg.dev.
Membatasi akses SSH langsung
Pastikan Anda membatasi akses SSH langsung ke VM di project yang menghosting Cloud Workstations, sehingga akses hanya dapat dilakukan melalui gateway Cloud Workstations, tempat kebijakan Identity and Access Management (IAM)) diterapkan dan VPC Flow Logs dapat diaktifkan.
Untuk menonaktifkan akses SSH langsung ke VM, jalankan perintah Google Cloud CLI berikut:
gcloud workstations configs update CONFIG \
--cluster=CLUSTER \
--region=REGION \
--project=PROJECT \
--disable-ssh-to-vm
Membatasi akses ke resource sensitif
Siapkan perimeter layanan Kontrol Layanan VPC untuk membatasi akses ke resource sensitif dari workstation Anda, sehingga mencegah pemindahan data dan kode sumber yang tidak sah.
Mengikuti prinsip hak istimewa terendah
Ikuti prinsip hak istimewa terendah untuk izin dan alokasi resource.
Izin IAM
Gunakan konfigurasi Identity and Access Management default, yang membatasi akses workstation ke satu developer. Hal ini membantu memastikan bahwa setiap developer menggunakan instance workstation unik dengan VM pokok yang berbeda, sehingga meningkatkan isolasi lingkungan. Editor kode dan aplikasi Cloud Workstations berjalan di dalam container yang berjalan dalam mode istimewa dan dengan akses root, untuk meningkatkan fleksibilitas developer. Hal ini menyediakan workstation unik per developer dan membantu memastikan bahwa meskipun pengguna keluar dari penampung ini, mereka akan tetap berada di dalam VM, tidak dapat mengakses resource eksternal tambahan.
Siapkan izin IAM yang membatasi akses non-admin untuk mengubah konfigurasi workstation dan image container di Artifact Registry.
Selain itu, Google merekomendasikan agar Anda menyiapkan izin IAM yang membatasi akses non-admin ke salah satu resource Compute Engine pokok dalam project yang menghosting Cloud Workstations Anda.
Untuk mengetahui informasi selengkapnya, lihat menggunakan IAM dengan aman.
Izin Cloud KMS
Untuk mendukung prinsip hak istimewa terendah dengan lebih baik, sebaiknya Anda menyimpan resource Cloud KMS dan resource Cloud Workstations di project Google Cloud terpisah. Buat project kunci Cloud KMS Anda tanpa owner di tingkat project, dan tunjuk Admin Organisasi
yang diberi hak akses di tingkat organisasi.
Tidak seperti owner, Admin Organisasi tidak dapat mengelola atau menggunakan kunci secara langsung. Mereka dibatasi untuk menetapkan kebijakan IAM,
yang membatasi siapa yang dapat mengelola dan menggunakan kunci.
Hal ini juga disebut sebagai pemisahan tugas, yang merupakan konsep memastikan bahwa satu orang tidak memiliki semua izin yang diperlukan untuk dapat menyelesaikan tindakan berbahaya. Untuk mengetahui informasi selengkapnya, lihat pemisahan tugas.
Menerapkan patch dan update gambar otomatis
Pastikan workstation Anda menggunakan image dasar Cloud Workstations versi terbaru, yang berisi patch dan perbaikan keamanan terbaru. Nilai waktu tunggu berjalan pada konfigurasi workstation Anda membantu memastikan bahwa workstation yang dibuat dengan konfigurasi ini akan otomatis diupdate pada sesi berikutnya, agar sesuai dengan versi terbaru image container yang ditentukan dalam konfigurasi workstation.
- Jika organisasi Anda menggunakan salah satu image dasar Cloud Workstations, workstation akan otomatis mengambil update apa pun pada konfigurasi workstation saat workstation dimatikan dan dimulai ulang. Menyetel
runningTimeout, atau menggunakan default, akan membantu memastikan bahwa workstation ini dimatikan. - Jika organisasi Anda menggunakan image kustom, pastikan Anda membangun ulang image secara rutin.
Memelihara gambar kustom
Anda bertanggung jawab untuk memelihara dan mengupdate paket kustom dan dependensi yang ditambahkan pada gambar kustom.
Jika Anda membuat gambar kustom, sebaiknya lakukan hal berikut:
Jalankan alat pemindaian container seperti Artifact Analysis untuk memeriksa dependensi tambahan yang Anda tambahkan.
Jadwalkan build untuk membangun ulang image setiap minggu, atau pelajari cara mengotomatiskan pembuatan ulang image container.
Menyiapkan Log Aliran VPC
Saat Anda membuat cluster workstation, Cloud Workstations akan mengaitkan cluster dengan subnet tertentu dan semua workstation ditempatkan di subnet tersebut. Untuk mengaktifkan Log Alur VPC, pastikan Anda mengaktifkan logging untuk subnet tersebut. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan Log Alur VPC untuk subnet yang ada.
Mengaktifkan Deteksi ancaman VM di Security Command Center
Security Command Center adalah solusi pengelolaan risiko berbasis cloud yang membantu profesional keamanan mencegah, mendeteksi, dan merespons masalah keamanan. Karena workstation berjalan di VM khusus per workstation, Deteksi Ancaman Mesin Virtual dapat digunakan untuk mendeteksi aplikasi yang berpotensi berbahaya, seperti software penambangan mata uang kripto, rootkit mode kernel, dan malware yang berjalan di workstation.
Saat mengevaluasi temuan untuk VM, Anda dapat menemukan workstation yang ditetapkan ke VM dengan memeriksa label workstation di VM, atau dengan menggunakan log platform workstation untuk mencari penetapan historis.