10 лучших практик безопасности Google Cloud Platform, которые необходимо знать

В настоящее время Google Cloud Platform (GCP) известна как гибкая, масштабируемая и инновационная платформа, предлагающая компаниям любого размера полный набор инструментов и услуг.

Тем не менее, согласно отчету Cybersecurity Ventures за 2023 год, ожидается, что глобальные затраты на киберпреступность будут расти на 15% в год в течение следующих пяти лет, достигнув 10,5 триллиона долларов США в год к 2025 году. Хотя Google заботится о безопасности базовой инфраструктуры, ваша задача — защищать приложения, данные и элементы управления доступом. Эта концепция также называется моделью разделенной ответственности.

Независимо от того, являетесь ли вы стартапом, переносящим свои первые рабочие нагрузки, или предприятием, управляющим сложными гибридными средами, наши 10 лучших рекомендаций по безопасности GCP помогут вам создать устойчивую, совместимую и безопасную облачную среду.

1. Понимание модели совместной ответственности в системе безопасности Google Cloud

Когда дело касается безопасности GCP, многие компании ошибочно полагают, что их поставщик услуг обо всем позаботится. Безопасность — это совместная работа между вами и Google Cloud. Как мы упоминали выше, это партнерство определяется моделью разделенной ответственности за безопасность облака GCP. Она четко различает задачи безопасности, которые выполняет Google, и те, которые являются обязанностью пользователя.

Обязанности Google:

• Физическая безопасность дата-центров;
• Аппаратная и сетевая инфраструктура;
• Шифрование данных при передаче между объектами Google;
• Безопасность базовых вычислительных, хранилищ, сетевых и баз данных.

Обязанности пользователя:

• Классификация и ответственность за данные;
• Управление идентификаторами и доступом (IAM);
• Безопасность на уровне приложений;
• Конфигурация сети (брандмауэры, VPN);
• Обновление операционных систем и приложений;
• Шифрование данных в состоянии покоя и при передаче в рамках ваших приложений.

Например, когда вы используете управляемую службу, такую как Google App Engine, Google берет на себя большую ответственность за безопасность. Однако, когда вы используете службу, такую как Compute Engine, у вас больше контроля и обязанностей по защите ваших виртуальных машин.

Чтобы помочь вам разобраться в общей модели, Google предоставляет Security Foundations Blueprint. Это руководство предлагает эталонную архитектуру для:

• Защиты вашей организации Google Cloud;
• Управления доступом, идентификаторами и ключами;
• Настройки защищенных сетей VPC.

Первый и самый важный шаг к защите ваших облачных ресурсов — осознание вашей роли в обеспечении безопасности Google Cloud Platform.

2. Включите двухфакторную аутентификацию для всех аккаунтов Google Cloud

Согласно отчету Verizon Data Breach Investigations Report за 2023 год, 80% взломов данных связаны со слабыми паролями. По данным WifiTalents, компании могут снизить риск фишинговых атак на 48% с помощью многофакторной аутентификации.

Двухфакторная аутентификация (2FA), также известная как многофакторная аутентификация, обеспечивает надежную защиту от несанкционированного доступа. Даже если злоумышленник завладеет вашим паролем, он не сможет получить доступ к вашей учетной записи без второго фактора. MFA подразумевает вторую форму проверки, например, код, отправленный на ваш телефон, или сканирование отпечатка пальца.
Безопасность Google Cloud Platform включает четыре варианта 2FA:

• Мобильное приложение Google Authenticator;
• Защищенные ключи;
• SMS или голосовая верификация;
• Резервные коды.

Как настроить 2FA в Google Cloud:

1. В консоли администратора перейдите в Меню > Безопасность > Аутентификация > 2-х этапная верификация.
2. Нажмите «Разрешить пользователям включать 2-х этапную верификацию».
3. Нажмите «Начать» и следуйте инструкциям на экране, чтобы включить 2-х этапную верификацию для вашей организации.
4. В разделе 2-х этапной верификации нажмите на Принудительное внедрение > Выберите вариант принудительного внедрения (Вкл., Выкл., Настраиваемое) > Нажмите «Сохранить».
5. В разделе 2-х этапной верификации перейдите в Способы аутентификации > Выберите разрешенные способы (Google Authenticator, защищенные ключи, SMS/голосовая верификация, резервные коды) > Нажмите «Сохранить».
6. Сообщите пользователям о новой политике 2FA и предоставьте инструкции по настройке и поддержку.
7. Отслеживайте соблюдение требований в разделе Отчеты > Безопасность > 2-х этапная верификация и оказывайте помощь пользователям по мере необходимости.

3. Реализуйте строгие политики управления идентификаторами и доступом (IAM)

Управление идентификаторами Google Cloud контролирует, кто может получить доступ к вашим ресурсам Google Cloud и другим ресурсам в нужный момент. В основе контроля доступа Google Cloud лежит принцип минимальных привилегий. Исследование, проведенное Ponemon Institute, показало, что 62% организаций не следуют этому принципу, что приводит к утечкам данных. Не становитесь частью этой статистики.

Рекомендации по обеспечению безопасности Google Cloud для внедрения строгих политик IAM:

1. Перечислите все ресурсы Google Cloud, которые есть в вашей среде.
2. Определите роли, необходимые для доступа к этим ресурсам и управления ими.
3. Назначьте разрешения каждой роли на основе принципа минимальных привилегий.
4. Пользователей можно группировать по ролям, а группам можно назначать разрешения.
5. Создайте процедуру для регулярной проверки членства в группах и прав пользователей.

Используйте такие инструменты, как Google Cloud Asset Graph Viewer, для визуализации ваших политик IAM. Обнаружение проблем становится проще, когда вы видите зависимости.

4. Шифруйте все данные в состоянии покоя и транзите

Шифрование данных обеспечивает безопасность Google Cloud Platform, защищая ваши конфиденциальные данные в состоянии покоя и транзите.

Когда данные находятся «в состоянии покоя», это означает, что они хранятся либо в базе данных, файловой системе, либо в облачном хранилище. Google Cloud Storage предлагает несколько уровней шифрования данных:

1. Шифрование по умолчанию: Все данные в Cloud Storage, BigQuery и на дисках Compute Engine зашифрованы по умолчанию. Используется алгоритм AES-256, один из самых надежных алгоритмов шифрования.
2. Ключи шифрования, управляемые клиентом (CMEK): Позволяет создавать и управлять ключами с помощью сервиса управления ключами Cloud Key Management Service (KMS).
3. Ключи шифрования, предоставляемые клиентом (CSEK): Если вы предоставляете собственные ключи шифрования, Google использует ваш ключ для защиты ключей, которые он генерирует для шифрования и расшифрования ваших данных.

Данные в транзите уязвимы для перехвата. Шифрование сети Google Cloud гарантирует, что данные остаются конфиденциальными при перемещении:

1. Внутри Google Cloud: Все данные, передаваемые между службами Google Cloud, по умолчанию шифруются. Используются протоколы, такие как SSL/TLS.
2. Между Google Cloud и пользователями/приложениями: Используйте HTTPS для веб-приложений — для API применяйте TLS 1.2 или более позднюю версию.
3. Между локальной средой и Google Cloud: Используйте Cloud VPN или Cloud Interconnect для создания зашифрованных туннелей.

5. Используйте комплексную систему ведения журналов и мониторинга Google Cloud

Функции ведения журналов и мониторинга обеспечивают вам обзор вашей инфраструктуры, приложений и ресурсов, позволяя быстро выявлять и устранять нарушения безопасности, проблемы с производительностью и сбои в работе.

Рекомендации по обеспечению безопасности Google Cloud для интеграции ведения журналов и мониторинга:

1. Центр безопасности (SCC): Единая платформа управления безопасностью Google. Собирает данные из Cloud Logging и Monitoring.
2. Корреляция оповещений: Используйте SCC для корреляции оповещений из ведения журналов и мониторинга. Пример: Всплеск неудачных попыток входа в систему (логирование) + необычный исходящий трафик (мониторинг) могут указывать на взлом.
3. Интеграция с реагированием на инциденты: Передавайте журналы и оповещения в такие инструменты, как PagerDuty или Jira. Автоматическое создание тикетов для более быстрого реагирования на инциденты.

6. Поддерживайте актуальность Google Cloud с помощью патчей

Google Cloud предлагает автоматизированное управление патчами для многих служб. Например, вы можете использовать службу управления патчами ОС для автоматического применения патчей к операционным системам и сторонним приложениям. Container Analysis сканирует образы контейнеров на наличие уязвимостей, помогая вам выявлять и устранять угрозы безопасности до их развертывания в рабочей среде.

Постоянно применяя исправления и обновления, вы усиливаете свою защиту от этих атак:

• Включите автоматические обновления для приложений и служб Google Cloud, когда это возможно.
• Создайте регулярный график применения патчей для ресурсов, которые не допускают автоматического обновления.
• Установите приоритеты и установите важные обновления безопасности.
• Патчи следует тщательно протестировать в тестовой среде перед применением к производственным средам.
• Чтобы ваши облачные ресурсы были защищены от известных уязвимостей и обновлены, следите за состоянием их патчей.

Правила безопасности GCP регулярно обновляются для облачных служб, устраняя уязвимости и улучшая функции безопасности. Важно быть в курсе этих обновлений и своевременно их применять.

7. Регулярно создавайте резервные копии и тестируйте свои рабочие нагрузки

Даже при самых надежных мерах безопасности непредвиденные события, такие как сбои оборудования, стихийные бедствия или даже случайное удаление, могут поставить под угрозу ваши данные. Регулярное резервное копирование является вашей защитной сеткой, гарантируя, что вы сможете быстро восстановиться и минимизировать простои в случае непредвиденных сбоев.

Google Cloud предлагает ряд решений для резервного копирования:

• Снимки;
• Резервное копирование для GKE;
• Хранилище в облаке;
• Сторонние решения для резервного копирования.

Регулярная проверка ваших резервных копий имеет решающее значение для обеспечения их полноты, согласованности и возможности успешного восстановления в случае чрезвычайной ситуации. Этот процесс проверяет вашу резервную копию в облаке и план аварийного восстановления, а также дает вам уверенность в том, что ваши данные защищены.

8. Реализуйте надежные элементы управления безопасностью сети

Основной путь, который соединяет ваши ресурсы во всей обширной облачной среде Google, проходит через вашу сеть. Необходимо применять надежные меры безопасности данных Google Cloud для защиты этого магистрального канала от атак злоумышленников, несанкционированного доступа и утечек данных. С помощью Google Cloud вы можете использовать многоуровневый подход к сетевой безопасности для защиты ваших бесценных активов.

Вы можете установить правила, регулирующие трафик, который разрешен для входа и выхода из вашей виртуальной частной сети (VPC), используя брандмауэр Google Cloud. Правильно определяя правила брандмауэра, вы можете отфильтровать нежелательные данные, ограничить доступ к ресурсам и сегментировать сеть для повышения защиты.

Нужно безопасное соединение с Google Cloud из вашей локальной сети? Решением является облачный VPN. Он гарантирует безопасный поток данных между вашими сетями, создавая зашифрованный туннель через открытый Интернет. В гибридных облачных сценариях облачный VPN идеально подходит для подключения ресурсов, расположенных в различных средах.

9. Используйте Центр безопасности GCP (SCC)

Центр безопасности Google Cloud (SCC) — это ваше вездесущее око, централизованный центр для мониторинга, оценки и улучшения вашей безопасности. Он объединяет результаты безопасности, рекомендации и аналитические данные на одной интуитивно понятной панели управления. SCC предлагает аудит путем сравнения ваших конфигураций, разрешений и сетевых настроек с отраслевыми стандартами и передовыми практиками.

Не останавливайтесь на достигнутом.

Регулярно просматривайте выводы и предложения SCC, чтобы поддерживать свою безопасность. Сосредоточьте свои усилия по устранению неполадок на серьезных неправильных конфигурациях и уязвимостях, которые представляют для вас наибольшую опасность. Для создания полной экосистемы безопасности интегрируйте SCC с дополнительными продуктами и службами безопасности GCP.

10. Будьте бдительны и следите за последними обновлениями безопасности Google Cloud

Google Cloud регулярно обновляет рекомендации по обеспечению безопасности GCP, внедряет новые функции и освещает возникающие угрозы в сообщениях блога, статьях и новостных статьях. Возьмите за привычку регулярно проверять эти ресурсы, чтобы быть в курсе. Они также предлагают исследования и анализ тенденций кибербезопасности, которые могут помочь вам получить важное представление о том, как меняется ландшафт угроз.

Информированность о новых тенденциях в области безопасности помогает вам предвидеть потенциальные угрозы и заранее корректировать меры безопасности.

Чем может помочь Cloudfresh?

Будучи Google Cloud Premier Partner, компания Cloudfresh обладает командой квалифицированных экспертов, понимающих все нюансы безопасности данных в Google Cloud:

• Наши консультанты по Google Cloud проведут комплексную оценку существующей инфраструктуры, найдут слабые места и предложат эффективные решения.
• Чтобы обеспечить максимальную защиту ваших данных и ресурсов, мы поможем вам настроить систему безопасности GCP и сопутствующие инструменты и сервисы.
• Команда поддержки готова помочь вам в случае любых проблем с безопасностью или инцидентов, обеспечивая постоянный мониторинг и проактивное реагирование.

Мы предлагаем ряд профессиональных услуг, которые косвенно повышают уровень безопасности. От оценки ИТ-инфраструктуры и миграции VMware до контейнеризации и конвейеров CI/CD — наш опыт в GCP обеспечивает оптимизацию и безопасность вашей облачной среды. Мы оцениваем вашу инфраструктуру, переносим ресурсы и внедряем современные технологии, такие как BeyondCorp и Anthos, в которых приоритет отдается безопасности.

Заинтересованы в укреплении вашей облачной среды Google? Хотите узнать больше? Свяжитесь с нашей командой, чтобы получить консультацию по профессиональным услугам, соответствующим вашим потребностям.