10 najlepszych praktyk bezpieczeństwa w Google Cloud Platform

Obecnie Google Cloud Platform (GCP) jest znana jako elastyczna, skalowalna i innowacyjna platforma, oferująca firmom wszystkich rozmiarów pełen zestaw narzędzi i usług.

Jednak według raportu Cybersecurity Ventures z 2023 roku globalne koszty cyberprzestępczości mają wzrosnąć o 15% rocznie w ciągu najbliższych pięciu lat, osiągając 10,5 biliona dolarów rocznie do 2025 roku. Podczas gdy Google dba o zabezpieczenie podstawowej infrastruktury, Twoim zadaniem jest ochrona aplikacji, danych i kontroli dostępu. Ta koncepcja nazywana jest również modelem współodpowiedzialności.

Niezależnie od tego, czy jesteś startupem migrującym pierwsze obciążenia, czy przedsiębiorstwem zarządzającym złożonymi środowiskami hybrydowymi, nasze 10 najlepszych praktyk bezpieczeństwa GCP pomoże Ci zbudować odporne, zgodne i bezpieczne środowisko w chmurze.

1. Zrozum model współodpowiedzialności za bezpieczeństwo w Google Cloud

Jeśli chodzi o bezpieczeństwo CGP, wiele firm popełnia błąd, zakładając, że ich dostawca zajmuje się wszystkim. Bezpieczeństwo to współpraca między Tobą a Google Cloud. Jak wspomnieliśmy powyżej, partnerstwo to jest definiowane przez model współodpowiedzialności za bezpieczeństwo w chmurze GCP. Jasno rozróżnia on zadania związane z bezpieczeństwem, którymi zajmuje się Google, i te, które są obowiązkiem użytkownika.

Odpowiedzialność Google:

• Fizyczne bezpieczeństwo centrów danych;
• Infrastruktura sprzętowa i sieciowa;
• Szyfrowanie danych przesyłanych między obiektami Google;
• Bezpieczeństwo podstawowych usług obliczeniowych, pamięci masowej, sieciowych i baz danych.

Odpowiedzialność użytkownika:

• Klasyfikacja i odpowiedzialność za dane;
• Zarządzanie tożsamością i dostępem (IAM);
• Bezpieczeństwo na poziomie aplikacji;
• Konfiguracja sieci (firewalle, VPN);
• Patchowanie systemów operacyjnych i aplikacji;
• Szyfrowanie danych w spoczynku i w tranzycie w Twoich aplikacjach.

Na przykład, gdy korzystasz z usługi zarządzanej, takiej jak Google App Engine, Google bierze na siebie większą odpowiedzialność za bezpieczeństwo. Natomiast korzystając z usługi takiej jak Compute Engine, masz większą kontrolę i obowiązek zabezpieczania swoich maszyn wirtualnych.

Aby pomóc Ci w nawigacji po modelu współodpowiedzialności, Google udostępnia Security Foundations Blueprint. Ten przewodnik oferuje architekturę referencyjną do:

• Zabezpieczenia Twojej organizacji Google Cloud;
• Zarządzania dostępem, tożsamością i kluczami;
• Konfigurowania obronnych sieci VPC.

Pierwszym i najważniejszym krokiem w ochronie zasobów w chmurze jest uświadomienie sobie Twojej roli w bezpieczeństwie platformy Google Cloud.

2. Włącz weryfikację dwuetapową dla wszystkich kont Google Cloud

Zgodnie z raportem Verizon Data Breach Investigations Report z 2023 roku, 80% naruszeń bezpieczeństwa danych dotyczy słabych haseł. Według WifiTalents firmy mogą obniżyć ryzyko ataku phishingowego o 48% dzięki uwierzytelnianiu wieloskładnikowemu.

Weryfikacja dwuetapowa (2FA), znana również jako uwierzytelnianie wieloskładnikowe, zapewnia silną ochronę przed nieuprawnionym dostępem. Nawet jeśli haker zdobędzie Twoje hasło, nie będzie mógł uzyskać dostępu do Twojego konta bez drugiego czynnika. MFA oznacza drugą formę weryfikacji, na przykład kod wysłany na Twój telefon lub skan odcisku palca.

Bezpieczeństwo platformy Google Cloud Platform obejmuje cztery opcje uwierzytelniania dwuetapowego:

• Aplikacja Google Authenticator;
• Klucze bezpieczeństwa;
• Weryfikacja SMS lub głosowa;
• Kody zapasowe.

Jak skonfigurować weryfikację dwuetapową w Google Cloud:

1. W konsoli administracyjnej przejdź do Menu > Bezpieczeństwo > Uwierzytelnianie > Weryfikacja dwuetapowa.
2. Kliknij „Zezwól użytkownikom na włączenie weryfikacji dwuetapowej”.
3. Kliknij „Rozpocznij” i postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby włączyć weryfikację dwuetapową dla swojej organizacji.
4. W sekcji Weryfikacja dwuetapowa kliknij „Wymuszenie” > Wybierz opcję wymuszenia (Włączone, Wyłączone, Własne) > Kliknij „Zapisz”.
5. W sekcji Weryfikacja dwuetapowa przejdź do Metody uwierzytelniania > Wybierz dozwolone metody (Google Authenticator, klucze bezpieczeństwa, SMS/Głos, kody zapasowe) > Kliknij „Zapisz”.
6. Przekaż użytkownikom nową politykę weryfikacji dwuetapowej i dostarcz instrukcje konfiguracji oraz wsparcie.
7. Monitoruj zgodność w sekcji Raporty > Bezpieczeństwo > Weryfikacja dwuetapowa i pomagaj użytkownikom w razie potrzeby.

3. Wdrażaj rygorystyczne zasady zarządzania tożsamością i dostępem (IAM)

Zarządzanie tożsamością w Google Cloud kontroluje, kto może mieć dostęp do Twojego Google Cloud i innych zasobów we właściwym czasie. Podstawą kontroli dostępu w Google Cloud jest zasada minimalnych uprawnień. Badanie przeprowadzone przez Ponemon Institute wykazało, że 62% organizacji nie stosuje się do tej zasady, co prowadzi do naruszeń bezpieczeństwa danych. Nie bądź częścią tych statystyk.

Najlepsze praktyki bezpieczeństwa Google Cloud w zakresie wdrażania rygorystycznych zasad IAM:

1. Sporządź listę wszystkich zasobów Google Cloud w swoim środowisku.
2. Określ role wymagane do uzyskiwania dostępu i zarządzania tymi zasobami.
3. Przypisz uprawnienia każdej roli zgodnie z zasadą minimalnych uprawnień.
4. Użytkowników można grupować według ich ról, a grupom można przyznawać uprawnienia.
5. Utworzenie procedury regularnego sprawdzania członkostwa w grupach i uprawnień użytkowników.

Używaj narzędzi takich jak Google Cloud Asset Graph Viewer, aby wizualizować swoje zasady IAM. Łatwiej jest wykryć problemy, gdy widzisz zależności.

4. Szyfruj wszystkie dane w spoczynku i w tranzycie

Szyfrowanie danych chroni bezpieczeństwo platformy Google Cloud Platform, zabezpieczając Twoje poufne dane w tranzycie i spoczynku.

Kiedy dane znajdują się w stanie “spoczynku”, oznacza to, że są przechowywane w bazie danych, systemie plików lub magazynie w chmurze. Google Cloud Storage zapewnia kilka poziomów szyfrowania danych:

1. Szyfrowanie domyślne: Wszystkie dane w Cloud Storage, BigQuery i na dyskach Compute Engine są szyfrowane domyślnie. Używany jest algorytm AES-256, jeden z najsilniejszych algorytmów szyfrowania.
2. Klucze szyfrowania zarządzane przez klienta (CMEK): Umożliwiają tworzenie i zarządzanie kluczami za pomocą usługi Cloud Key Management Service (KMS).
3. Klucze szyfrowania dostarczane przez klienta (CSEK): Jeśli dostarczysz własne klucze szyfrowania, Google użyje Twojego klucza, aby chronić klucze, które generuje do szyfrowania i deszyfrowania Twoich danych.

Dane w tranzycie są podatne na przechwycenie. Szyfrowanie sieci Google Cloud zapewnia poufność danych podczas ich przesyłania:

1. W ramach Google Cloud: Wszystkie dane przesyłane między usługami Google Cloud są szyfrowane domyślnie. Używane są protokoły takie jak SSL/TLS.
2. Pomiędzy Google Cloud a użytkownikami/aplikacjami: Używaj HTTPS dla aplikacji internetowych – dla interfejsów API wymuszaj TLS 1.2 lub nowszy.
3. Między lokalizacją a Google Cloud: Używaj Cloud VPN lub Cloud Interconnect dla szyfrowanych tuneli.

5. Wykorzystaj kompleksowe rejestrowanie i monitorowanie Google Cloud

Funkcje rejestrowania i monitorowania zapewniają wgląd w infrastrukturę, aplikacje i zasoby, umożliwiając szybkie identyfikowanie i rozwiązywanie naruszeń bezpieczeństwa, problemów z wydajnością i nieprawidłowości w operacjach.

Najlepsze praktyki bezpieczeństwa Google Cloud w zakresie integracji rejestrowania i monitorowania:

1. Security Command Center (SCC): Zjednoczona platforma zarządzania bezpieczeństwem Google. Gromadzi dane z Cloud Logging i Monitoring.
2. Korelacja alertów: Użyj SCC do korelowania alertów z rejestrowania i monitorowania. Przykład: Nagły wzrost liczby nieudanych logowań (rejestrowanie) + nietypowy ruch wychodzący (monitorowanie) może wskazywać na naruszenie bezpieczeństwa.
3. Integracja reagowania na incydenty: Przekazywanie logów i alertów do narzędzi takich jak PagerDuty lub Jira. Automatyczne tworzenie zgłoszeń w celu szybszej reakcji na incydenty.

6. Utrzymuj aktualność i poprawki w Google Cloud

Google Cloud zapewnia automatyczne zarządzanie poprawkami dla wielu usług. Na przykład możesz użyć usługi OS Patch Management do automatycznego aktualizowania systemów operacyjnych i aplikacji innych firm. Container Analysis skanuje obrazy kontenerów w poszukiwaniu luk w zabezpieczeniach, pomagając Ci w identyfikowaniu i naprawianiu luk w zabezpieczeniach przed wdrożeniem ich do produkcji.

Wzmacniaj swoje obrony przed tymi atakami, konsekwentnie wdrażając poprawki i aktualizacje:

• Włącz automatyczne aktualizacje dla aplikacji i usług Google Cloud, kiedykolwiek jest to możliwe.
• Utwórz regularny harmonogram aktualizacji dla zasobów, które nie zezwalają na automatyczne aktualizacje.
• Ustalać priorytety i instalujować ważne aktualizacje bezpieczeństwa.
• Poprawki powinny zostać dokładnie przetestowane w środowisku pre-produkcyjnym przed zastosowaniem ich w środowiskach produkcyjnych.
• Aby Twoje zasoby w chmurze były zabezpieczone przed znanymi lukami w zabezpieczeniach i były aktualne, monitoruj stan ich poprawek.

Reguły bezpieczeństwa GCP są regularnie aktualizowane dla usług w chmurze, eliminując luki w zabezpieczeniach i udoskonalając funkcje bezpieczeństwa. Ważne jest, aby być na bieżąco z tymi aktualizacjami i szybko je wdrażać.

7. Regularnie twórz kopie zapasowe i testuj swoje obciążenia

Nawet przy wdrożonych najbardziej solidnych środkach bezpieczeństwa, nieprzewidziane zdarzenia, takie jak awarie sprzętu, klęski żywiołowe, a nawet przypadkowe usunięcia, mogą zagrozić Twoim danym. Regularne tworzenie kopii zapasowych to Twoja sieć bezpieczeństwa, zapewniająca szybką możliwość odzyskania danych i minimalizację przestojów w przypadku nieoczekiwanych sytuacji.

Google Cloud oferuje szereg rozwiązań do tworzenia kopii zapasowych:

• Migawka (Snapshot);
• Kopia zapasowa dla GKE;
• Pamięć masowa w chmurze;
• Rozwiązania do tworzenia kopii zapasowych innych firm.

Regularne testowanie kopii zapasowych jest kluczowe, aby upewnić się, że są one kompletne, spójne i można je pomyślnie przywrócić w przypadku awarii. Proces ten weryfikuje Twoją kopię zapasową w chmurze i plan odzyskiwania po awarii, dając Ci pewność, że Twoje dane są chronione.

8. Wdrażaj solidne kontrole bezpieczeństwa sieci

Głównym szlakiem łączącym Twoje zasoby w rozległym środowisku chmury Google jest sieć. Należy wdrożyć solidne środki bezpieczeństwa danych Google Cloud, aby chronić tę sieć szkieletową przed złośliwymi atakami, nielegalnym dostępem i wyciekami danych. Dzięki Google Cloud możesz wykorzystać wielowarstwowe podejście do bezpieczeństwa sieci, aby chronić swoje bezcenne zasoby.

Możesz ustalić zasady regulujące ruch dozwolony wchodzący i wychodzący z Twojej wirtualnej sieci prywatnej (VPC) za pomocą firewalla Google Cloud. Poprzez prawidłowe definiowanie reguł firewalla możesz filtrować niechciane dane, ograniczać dostęp do zasobów i segmentować sieć w celu zwiększenia ochrony.

Czy potrzebujesz bezpiecznego połączenia z Google Cloud z Twojej lokalnej sieci? Rozwiązaniem jest VPN w chmurze. Gwarantuje on bezpieczny przepływ danych między Twoimi sieciami, tworząc szyfrowany tunel przez otwarte łącze internetowe. W scenariuszach chmury hybrydowej VPN w chmurze doskonale nadaje się do łączenia zasobów znajdujących się w różnych środowiskach.

9. Wykorzystaj Security Command Center GCP

Google Cloud Security Command Center (SCC) to Twoje wszechwidzące oko, zapewniające centralny hub do monitorowania, oceniania i poprawiania stanu bezpieczeństwa. Konsoliduje ustalenia dotyczące bezpieczeństwa, zalecenia i spostrzeżenia w jednym, intuicyjnym pulpicie nawigacyjnym. Porównując Twoje konfiguracje, uprawnienia i ustawienia sieciowe do standardów branżowych i najlepszych praktyk, SCC oferuje audyty.

Nie poprzestawaj jednak na tym.

Regularnie przeglądaj wnioski i sugestie SCC, aby utrzymać stan bezpieczeństwa. Skoncentruj swoje działania naprawcze na znaczących nieprawidłowych konfiguracjach i lukach w zabezpieczeniach, które są dla Ciebie najbardziej niebezpieczne. Aby zbudować kompletny ekosystem bezpieczeństwa, zintegruj SCC z dodatkowymi produktami i usługami bezpieczeństwa GCP.

10. Bądź czujny i śledź najnowsze aktualizacje bezpieczeństwa Google Cloud

Google Cloud regularnie aktualizuje najlepsze praktyki bezpieczeństwa GCP, wprowadza nowe funkcje i wyróżnia pojawiające się zagrożenia w postach na blogach, artykułach i wiadomościach. Ustal zwyczaj częstego sprawdzania tych zasobów, aby być na bieżąco. Oferują również badania i analizy trendów w cyberbezpieczeństwie, które mogą pomóc Ci uzyskać ważną wiedzę na temat tego, jak zmienia się krajobraz zagrożeń.

Informowanie się o pojawiających się trendach w zakresie bezpieczeństwa pomaga przewidywać potencjalne zagrożenia i proaktywnie dostosowywać środki bezpieczeństwa.

W jaki sposób Cloudfresh może pomóc?

Jako Google Cloud Premier Partner, Cloudfresh posiada zespół wykwalifikowanych ekspertów, którzy rozumieją niuanse bezpieczeństwa danych Google Cloud:

• Nasi konsultanci Google Cloud przeprowadzą kompleksową ocenę Twojej istniejącej infrastruktury, znajdą słabości i zaproponują sprawdzone rozwiązania.
• Pomożemy Ci skonfigurować zabezpieczenia GCP i powiązane narzędzia oraz usługi, aby zapewnić Twoim danym i zasobom najwyższy poziom ochrony.
• Zespół pomocy technicznej jest dostępny, aby pomóc Ci w przypadku wszelkich problemów lub incydentów związanych z bezpieczeństwem, zapewniając ciągły monitoring i proaktywną reakcję.

Oferujemy szereg profesjonalnych usług, które pośrednio wpływają na poprawę Twojego stanu bezpieczeństwa. Od oceny infrastruktury IT i migracji VMware po konteneryzację i pipeline’y CI/CD, nasza wiedza na temat GCP zapewnia optymalizację i bezpieczeństwo Twojego środowiska w chmurze. Oceniamy Twoją infrastrukturę, migrujemy Twoje zasoby i wdrażamy nowoczesne technologie, takie jak BeyondCorp i Anthos, które stawiają sobie za cel bezpieczeństwo od samego początku.

Czy jesteś zainteresowany wzmocnieniem swojego środowiska Google Cloud? Chcesz dowiedzieć się więcej? Skontaktuj się z naszym zespołem, aby uzyskać poradę dotyczącą usług profesjonalnych dostosowanych do Twoich potrzeb.