設定安全性最佳做法

本頁概略說明建議的安全最佳做法，可協助您提升 Cloud Workstations 的安全性和資料保護機制。這份清單並非詳盡的檢查清單，無法確保安全保障，也無法取代現有的安全防護措施。

本指南旨在說明 Cloud Workstations 提供的安全性最佳做法。在建構多層式安全防護方法時，請視情況將這些建議加入安全解決方案組合。多層式安全防護方法是安全原則的核心之一，有助於在 Google Cloud上執行安全且符合規範的服務。

背景

Cloud Workstations 服務提供預先定義的基本映像檔，可搭配這項服務使用。這項服務每週都會重建並重新發布這些映像檔，確保隨附的軟體包含最新的安全性修補程式。此外，服務會使用工作站設定的預設執行逾時值，確保工作站自動更新，且未修補的映像檔不會繼續運作。

不過， Google Cloud 並未擁有這些映像檔中綁定的所有套件。套件管理員可能會根據錯誤或常見安全漏洞與弱點 (CVE) 對產品的影響，決定更新的優先順序。如果產品只使用程式庫的一部分，可能不會受到程式庫其他部分探索結果的影響。因此，即使映像檔的安全漏洞掃描結果顯示有 CVE，Cloud Workstations 仍能提供安全無虞的產品。

Cloud Workstations 提供驗證和授權系統，確保只有指定開發人員可以存取工作站，因此能夠做到這一點。如同任何開發環境，開發人員在使用工作站時，應採用最佳做法。為盡可能確保安全，請只執行信任的程式碼、只處理信任的輸入內容，以及只存取信任的網域。此外，我們不建議使用工作站代管正式版伺服器，或與多位開發人員共用單一工作站。

如要進一步控管機構工作站映像檔的安全性，您也可以建立自己的自訂容器映像檔。

限制公開網路存取權

使用工作站設定停用工作站的公開 IP 位址，並設定防火牆規則，限制從 Cloud Workstations 存取日常工作不需要的公用網際網路目的地。如果停用公開 IP 位址，您必須在網路上設定私人 Google 存取權或 Cloud NAT。 如果您使用 Private Google Access，並透過 private.googleapis.com 或 restricted.googleapis.com 存取 Artifact Registry，請務必為網域 *.pkg.dev 設定 DNS 記錄。

限制直接 SSH 存取權

請務必限制直接透過 SSH 存取代管 Cloud Workstations 的專案中的 VM，確保只能透過 Cloud Workstations 閘道存取，藉此強制執行 身分與存取權管理 (IAM) 政策，並啟用 VPC 流量記錄。

如要停用 VM 的直接 SSH 存取權，請執行下列 Google Cloud CLI 指令：

    gcloud workstations configs update CONFIG \
        --cluster=CLUSTER \
        --region=REGION \
        --project=PROJECT \
        --disable-ssh-to-vm

限制存取機密資源

設定 VPC Service Controls 服務範圍，限制工作站存取機密資源，防止原始碼和資料遭竊。

遵循最低權限原則

遵循最低權限原則，授予權限及分配資源。

IAM 權限

使用預設的 Identity and Access Management 設定，將工作站存取權限制為單一開發人員。這有助於確保每位開發人員都使用具有不同基礎 VM 的專屬工作站執行個體，進而提升環境隔離程度。Cloud Workstations 程式碼編輯器和應用程式會在以特權模式執行的容器中執行，並具備根存取權，可提高開發人員的彈性。這可為每位開發人員提供專屬工作站，並確保即使使用者逸出這個容器，仍會留在 VM 內，無法存取任何額外的外部資源。

設定 IAM 權限，限制非管理員存取權，避免他們修改 工作站設定和 Artifact Registry 中的容器映像檔。

此外，Google 建議您設定 IAM 權限，限制非管理員存取 Cloud Workstations 專案中的任何基礎 Compute Engine 資源。

詳情請參閱「安全地使用 IAM」。

Cloud KMS 權限

為進一步支援最低權限原則，建議您將 Cloud KMS 資源和 Cloud Workstations 資源放在 Google Cloud 不同的專案中。建立 Cloud KMS 金鑰專案，但不要在專案層級指派 owner，而是在機構層級授予 機構管理員角色。與 owner 不同，機構管理員無法直接管理或使用金鑰，只能設定 IAM 政策，限制可管理及使用金鑰的人員。

這也稱為「授權區隔」，可確保一個人不會擁有完成惡意行為的所有必要權限。詳情請參閱「權責劃分」。

強制執行圖片自動更新和修補

請確認工作站使用的是最新版 Cloud Workstations 基礎映像檔，其中包含最新的安全性修補程式和修正。工作站設定中的「執行逾時」值可確保使用這項設定建立的工作站會在下一個工作階段自動更新，以符合工作站設定中定義的最新版容器映像檔。

• 如果貴機構使用其中一個 Cloud Workstations 基礎映像檔，工作站會在下次關機並重新啟動時，自動接收工作站設定的任何更新。設定 runningTimeout或使用預設值，有助於確保這些工作站關機。
• 如果貴機構使用自訂映像檔，請務必定期重建映像檔。

維護自訂圖片

您有責任維護及更新自訂映像檔中新增的自訂套件和依附元件。

如要建立自訂圖片，建議採取下列做法：

• 執行容器掃描工具 (例如 Artifact Analysis)，檢查您新增的其他依附元件。

• 排定建構作業，每週重建映像檔，或瞭解如何自動重建容器映像檔。

設定虛擬私有雲流量記錄

建立工作站叢集時，Cloud Workstations 會將叢集與特定子網路建立關聯，所有工作站都會放置在該子網路中。如要啟用虛擬私有雲流量記錄，請務必開啟該子網路的記錄功能。詳情請參閱針對現有子網路啟用虛擬私有雲流量記錄。

在 Security Command Center 中啟用 VM 威脅偵測功能

Security Command Center 是雲端風險管理解決方案，可協助安全專業人員防範、偵測及因應安全問題。由於工作站是在專屬的 VM 上執行，因此可以使用 Virtual Machine Threat Detection 偵測潛在的惡意應用程式，例如加密貨幣挖礦軟體、核心模式 Rootkit 和在工作站中執行的惡意軟體。

評估 VM 的發現項目時，您可以檢查 VM 上的工作站標籤，或使用工作站平台記錄查詢歷來指派的工作站，找出指派給 VM 的工作站。