10 osvědčených postupů pro zabezpečení Google Cloud Platform, které potřebujete znát

V dnešní době je platforma Google Cloud Platform (GCP) známá jako flexibilní, škálovatelná a inovativní platforma, která podnikům všech velikostí nabízí kompletní sadu nástrojů a služeb.

Podle zprávy společnosti Cybersecurity Ventures z roku 2023 se však celosvětové náklady na kybernetickou kriminalitu v příštích pěti letech očekávají růst o 15 % ročně a do roku 2025 dosáhnou 10,5 bilionu USD ročně. Zatímco Google se stará o zabezpečení základní infrastruktury, na vás je ochrana vašich aplikací, dat a řízení přístupu. Tato koncepce se také nazývá model sdílené odpovědnosti.

Ať už jste startup migrující své první pracovní zátěž nebo podnik spravující komplexní hybridní prostředí, naše 10 nejlepších osvědčených postupů pro zabezpečení GCP vám pomůže vytvořit odolné, compliantní a bezpečné cloudové prostředí.

1. Pochopení modelu sdílené odpovědnosti pro zabezpečení Google Cloud

Pokud jde o zabezpečení CGP, mnoho společností dělá tu chybu, že se domnívá, že jejich poskytovatel se stará o všechno. Bezpečnost je spolupráce mezi vámi a společností Google Cloud. Jak jsme již zmínili, toto partnerství je definováno modelem sdílené odpovědnosti za zabezpečení cloudu GCP. Jasně rozlišuje mezi bezpečnostními úkoly, které Google zvládá, a těmi, které jsou na straně uživatele.

Odpovědnosti společnosti Google:

• Fyzická bezpečnost datových center;
• Hardware a síťová infrastruktura;
• Šifrování dat při přenosu mezi zařízeními Google;
• Bezpečnost základních výpočetních, úložných, síťových a databázových služeb.

Odpovědnosti uživatele:

• Klasifikace a odpovědnost za data;
• Správa identity a přístupu (IAM);
• Bezpečnost na úrovni aplikace;
• Konfigurace sítě (firewally, VPN);
• Patchování operačního systému a aplikací;
• Šifrování dat v klidu a za chodu v rámci vašich aplikací.

Například když používáte spravovanou službu jako Google App Engine, Google přebírá větší odpovědnost za zabezpečení. Když však používáte službu jako Compute Engine, máte větší kontrolu a povinnost zabezpečit své virtuální počítače.

Pro lepší orientaci v tomto sdíleném modelu poskytuje společnost Google Návrh základů zabezpečení. Tato příručka nabízí referenční architekturu pro:

• Zabezpečení vaší organizace Google Cloud;
• Správa přístupu, identity a klíčů;
• Konfigurace obranitelných sítí VPC.

Prvním a nejdůležitějším krokem k ochraně vašich cloudových zdrojů je uvědomění si vaší role v zabezpečení platformy Google Cloud Platform.

2. Povolte dvoufaktorové ověřování pro všechny účty Google Cloud

Podle zprávy Verizon Data Breach Investigations Report z roku 2023 se 80 % úniků dat týká slabých hesel. Společnost WifiTalents uvádí, že společnosti mohou pomocí multifaktorového ověřování snížit riziko útoků typu phishing o 48 %.

Dvoufaktorové ověřování (2FA), známé také jako multifaktorové ověřování, poskytuje silnou obranu proti neoprávněnému přístupu. I když hacker získá vaše heslo, bez druhého faktoru se k vašemu účtu nedostane. MFA znamená druhou formu ověření, například kód odeslaný do telefonu nebo skenování otisku prstu.

Zabezpečení platformy Google Cloud Platform zahrnuje čtyři možnosti 2FA:

• Aplikace Google Authenticator;
• Bezpečnostní klíče;
• Ověření pomocí SMS nebo hlasu;
• Záložní kódy.

Jak nastavit 2FA v Google Cloud:

1. V konzole Admin přejděte na Menu > Zabezpečení > Ověřování > 2fázové ověřování.
2. Klikněte na „Povolit uživatelům zapnout 2fázové ověřování“.
3. Klikněte na „Začínáme“ a podle pokynů na obrazovce povolte 2fázové ověřování pro vaši organizaci.
4. V 2fázovém ověřování klikněte na Vynucení > Zvolte možnost vynucení (Zapnuto, Vypnuto, Vlastní) > Klikněte na „Uložit“.
5. V 2fázovém ověřování přejděte na Metody ověřování > Vyberte povolené metody (Google Authenticator, bezpečnostní klíče, SMS/Hlas, záložní kódy) > Klikněte na „Uložit“.
6. Uživatelům sdělte nové zásady 2FA a poskytněte pokyny k nastavení a podporu.
7. Sledujte dodržování v části Reporty > Zabezpečení > 2fázové ověřování a podle potřeby pomáhejte uživatelům.

3. Implementujte striktní politiky správy identity a přístupu (IAM)

Správa identity v Google Cloud kontroluje, kdo má v pravý čas přístup k vašemu Google Cloud a dalším zdrojům. Základem kontroly přístupu v Google Cloud je princip nejmenších oprávnění. Studie provedená institutem Ponemon Institute zjistila, že 62 % organizací tento princip nedodržuje, což vede k únikům dat. Nebuďte součástí této statistiky.

Osvědčené postupy zabezpečení Google Cloud pro implementaci striktních politik IAM:

1. Seznamte všechny prostředky, které Google Cloud má ve vašem prostředí.
2. Stanovte role potřebné pro přístup a správu těchto prostředků.
3. Každé roli přiřaďte oprávnění na základě konceptu nejmenších oprávnění.
4. Uživatele lze seskupit podle jejich rolí a skupinám lze udělit oprávnění.
5. Vytvořte postup pro pravidelnou kontrolu členských rolí skupin a uživatelských práv.

Pro vizualizaci vašich politik IAM použijte nástroje jako Google Cloud Asset Graph Viewer. Je snazší odhalit problémy, když vidíte závislosti.

4. Šifrujte všechna data v klidu a za chodu

Šifrování dat chrání zabezpečení platformy Google Cloud Platform a chrání vaše citlivé údaje během přenosu i v klidu.

Když jsou data „v klidu“, znamená to, že jsou uložena v databázi, souborovém systému nebo cloudovém úložišti. Služba Google Cloud Storage nabízí několik úrovní šifrování dat:

1. Výchozí šifrování: Všechna data v Cloud Storage, BigQuery a discích Compute Engine jsou ve výchozím nastavení šifrována. Používá se šifrovací algoritmus AES-256, jeden z nejsilnějších.
2. Klíče spravované zákazníkem (CMEK): Umožňuje vám vytvářet a spravovat klíče pomocí služby Cloud Key Management Service (KMS).
3. Klíče dodané zákazníkem (CSEK): Pokud dodáte své vlastní šifrovací klíče, společnost Google použije váš klíč k ochraně klíčů, které generuje pro šifrování a dešifrování vašich dat.

Data během přenosu jsou náchylná k zachycení. Šifrování sítě Google Cloud zajišťuje, že data zůstanou důvěrná při přenosu:

1. V rámci Google Cloud: Veškerá data přesouvaná mezi službami Google Cloud jsou ve výchozím nastavení šifrována. Používají se protokoly jako SSL/TLS.
2. Mezi Google Cloud a uživateli/aplikacemi: Pro webové aplikace používejte HTTPS – pro API vynucujte TLS 1.2 nebo novější verzi.
3. Mezi lokálním prostředím a Google Cloud: Pro šifrované tunely používejte Cloud VPN nebo Cloud Interconnect.

5. Využijte komplexní protokolování a monitorování Google Cloud

Funkce protokolování a monitorování vám poskytují přehled o vaší infrastruktuře, aplikacích a zdrojích, což vám umožní rychle identifikovat a řešit bezpečnostní mezery, problémy s výkonem a nepravidelnosti ve vašich operacích.

Osvědčené postupy zabezpečení Google Cloud pro integraci protokolování a monitorování:

1. Security Command Center (SCC): Unified platforma správy zabezpečení od společnosti Google. Zpracovává data z Cloud Logging a Monitorování.
2. Korelace upozornění: Pomocí SCC korelujte upozornění z protokolování a monitorování. Příklad: Nárůst neúspěšných přihlášení (protokolování) + neobvyklý odchozí provoz (monitorování) mohou signalizovat narušení.
3. Integrace reakce na incidenty: Zaveďte protokoly a upozornění do nástrojů jako PagerDuty nebo Jira. Automatizované vytváření tiketů pro rychlejší reakci na incidenty.

6. Udržujte Google Cloud aktualizovaný s nejnovějšími opravami

Google Cloud poskytuje automatizovanou správu oprav pro mnoho služeb. Například služba OS Patch Management umožňuje automatizovat patchování operačních systémů a aplikací třetích stran. Container Analysis skenuje kontejnerové obrazy na chyby zabezpečení, což vám pomůže identifikovat a odstranit bezpečnostní rizika před jejich nasazením do produkčního prostředí.

Pravidelnou instalací oprav a aktualizací posílíte svou obranu proti těmto útokům:

• Kdykoli je to možné, povolte automatické aktualizace pro aplikace a služby Google Cloud.
• Vytvořte pravidelný plán patchování pro zdroje, které neumožňují automatické aktualizace.
• Prioritizujte a instalujte důležité bezpečnostní aktualizace.
• Opravy by měly být důkladně testovány v testovacím prostředí před jejich použitím v produkčním prostředí.
• Abyste zajistili, aby vaše cloudové prostředky byly zabezpečeny proti známým zranitelnostem a byly aktuální, sledujte stav jejich oprav.

Bezpečnostní pravidla GCP jsou pravidelně aktualizována pro její cloudové služby, aby se odstranily chyby zabezpečení a zlepšily se bezpečnostní funkce. Je důležité zůstat informován o těchto aktualizacích a rychle je aplikovat.

7. Pravidelně zálohujte a testujte své pracovní zátěž

I s nejsilnějšími bezpečnostními opatřeními mohou vaše data ohrozit nepředvídané události, jako jsou hardwarové selhání, přírodní katastrofy nebo dokonce náhodná smazání. Pravidelné zálohování je vaší bezpečnostní síť, která zajišťuje, že se můžete rychle obnovit a minimalizovat prodlevy tváří v tvář neočekávaným problémům.

Google Cloud nabízí řadu řešení zálohování:

• Snímek;
• Zálohování pro GKE;
• Cloudové úložiště;
• Zálohovací řešení třetích stran.

Pravidelné testování záloh je zásadní pro zajištění jejich úplnosti, konzistence a možnosti úspěšného obnovení v případě nouze. Tento proces ověřuje váš plán zálohování v cloudu a obnovy po havárii a dává vám jistotu, že jsou vaše data chráněna.

8. Implementujte robustní kontroly zabezpečení sítě

Hlavní cestou, která propojuje vaše zdroje v celém rozsáhlém cloudovém prostředí Google, je vaše síť. Aby byla tato páteřní síť chráněna před útoky, nezákonným přístupem a úniky dat, je nutné implementovat silná bezpečnostní opatření Google Cloud. S Google Cloud můžete k ochraně svých cenných aktiv využít vrstvený přístup k zabezpečení sítě.

Pomocí služby Google Cloud Firewall můžete nastavit pravidla, která regulují provoz povolený do a z vaší virtuální privátní sítě (VPC). Správným definováním pravidel firewallu můžete filtrovat nežádoucí data, omezit přístup k zdrojům a segmentovat síť pro lepší ochranu.

Potřebujete bezpečné připojení ke službě Google Cloud z vaší místní sítě? Řešením je cloudová VPN. Ta zaručuje bezpečný tok dat mezi vašimi sítěmi vytvořením šifrovaného tunelu přes otevřený internet. V hybridních cloudových scénářích je cloudová VPN ideální pro propojení zdrojů umístěných v oddělených prostředích.

9. Využijte Google Cloud Security Command Center

Google Cloud Security Command Center (SCC) je vaše všudypřítomné oko a poskytuje centrální centrum pro monitorování, hodnocení a zlepšování vašeho bezpečnostního postoje. Konsoliduje bezpečnostní poznatky, doporučení a informace do jedné intuitivní řídicí panelu. SCC nabízí audity porovnáním vašich konfigurací, oprávnění a síťových nastavení s průmyslovými standardy a osvědčenými postupy.

Nezůstávejte ale jen u toho.

Pravidelně kontrolujte závěry a návrhy SCC, abyste udrželi svůj bezpečnostní postoj. Zaměřte své úsilí o nápravu na významné nesprávné konfigurace a chyby zabezpečení, které jsou pro vás nejnebezpečnější. Pro vybudování kompletního bezpečnostního ekosystému SCC integrujte s dalšími bezpečnostními produkty a službami GCP.

10. Zůstaňte ostražití a sledujte nejnovější aktualizace zabezpečení Google Cloud

Google Cloud pravidelně aktualizuje osvědčené postupy zabezpečení GCP, zavádí nové funkce a upozorňuje na nové hrozby v blogových příspěvcích, článcích a novinkách. Zvyšte si rutinu pravidelného kontrolování těchto zdrojů, abyste zůstali aktuální. Nabízejí také výzkum a analýzy trendů v oblasti kybernetické bezpečnosti, které vám mohou pomoci získat důležité informace o tom, jak se vyvíjí bezpečnostní prostředí.

Zůstávání informováno o nových bezpečnostních trendech vám pomůže předvídat potenciální hrozby a proaktivně upravovat vaše bezpečnostní opatření.

Jak vám může Cloudfresh pomoci?

Jako Google Cloud Premier Partner má Cloudfresh tým kvalifikovaných odborníků, kteří rozumí nuancím zabezpečení dat v Google Cloud:

• Naši konzultanti Google Cloud provedou komplexní hodnocení vaší stávající infrastruktury, najdou slabá místa a navrhnou platná řešení.
• Pomůžeme vám nakonfigurovat zabezpečení GCP a související nástroje a služby, abychom zajistili maximální ochranu vašich dat a zdrojů.
• Podpora je k dispozici, aby vám pomohla s jakýmikoliv bezpečnostními problémy nebo incidenty, a poskytuje nepřetržité monitorování a proaktivní reakci.

Nabízíme řadu profesionálních služeb, které nepřímo zlepšují váš bezpečnostní postoj. Od posouzení IT infrastruktury a migrací VMware až po kontejnerizaci a potrubí CI/CD, naše odborné znalosti v oblasti GCP zajišťují optimalizaci a bezpečnost vašeho cloudového prostředí. Zhodnotíme vaši infrastrukturu, migrujeme vaše zdroje a implementujeme moderní technologie jako BeyondCorp a Anthos, které prioritně zabezpečují již od návrhu.

Máte zájem o posílení svého prostředí Google Cloud? Chcete se dozvědět víc? Kontaktujte náš tým a domluvte si konzultaci o profesionálních službách šitých na míru vašim potřebám.