10 найкращих практик безпеки Google Cloud Platform, які вам потрібно знати

Сьогодні Google Cloud Platform (GCP) відома як гнучка, масштабована та інноваційна платформа, яка пропонує підприємствам усіх розмірів повний набір інструментів і служб.

Проте, згідно зі звітом Cybersecurity Ventures за 2023 рік, очікується, що глобальні витрати на кіберзлочини зростатимуть на 15% на рік протягом наступних п’яти років, досягнувши 10,5 трлн доларів США на рік до 2025 року. Хоча Google піклується про безпеку базової інфраструктури, захист ваших програм, даних і елементів керування доступом лягає на вас. Ця концепція також називається моделлю розділеної відповідальності.

Незалежно від того, чи ви стартап, який мігрує свої перші робочі навантаження, чи підприємство, яке керує складними гібридними середовищами, наші 10 найкращих порад щодо безпеки GCP допоможуть вам створити стійке, сумісне та безпечне хмарне середовище.

1. Розуміння моделі розділеної відповідальності для безпеки Google Cloud

Щодо безпеки GCP, багато компаній помилково вважають, що їхній провайдер усім опікується. Безпека – це співпраця між вами та Google Cloud. Як ми вже згадували, це партнерство визначається моделлю розділеної відповідальності за безпеку хмари GCP. Вона чітко розрізняє завдання безпеки, які виконує Google, і ті, що є відповідальністю користувача.

Відповідальність Google:

• Фізична безпека центрів обробки даних;
• Апаратна та мережева інфраструктура;
• Шифрування даних під час передачі між об’єктами Google;
• Безпека базових обчислювальних, сховищних, мережевих служб і служб баз даних.

Відповідальність користувача:

• Класифікація та відповідальність за дані;
• Керування ідентифікаторами та доступом (IAM);
• Безпека на рівні програми;
• Налаштування мережі (брандмауери, VPN);
• Встановлення пакетів оновлень для операційної системи та програм;
• Шифрування даних у стані спокою та під час передачі в межах ваших програм.

Наприклад, коли ви використовуєте керовану службу, таку як Google App Engine, Google бере на себе більше відповідальності за безпеку. Однак, коли ви використовуєте службу, наприклад Compute Engine, у вас більше контролю та обов’язків щодо захисту ваших віртуальних машин.

Щоб допомогти вам орієнтуватися в моделі розділеної відповідальності, Google пропонує Security Foundations Blueprint. Цей посіб пропонує еталонну архітектуру для:

• Захисту вашої організації Google Cloud;
• Керування доступом, ідентифікаторами та ключами;
• Налаштування захищених мереж VPC.

Першим і найважливішим кроком у захисті ваших хмарних ресурсів є усвідомлення вашої ролі в безпеці Google Cloud Platform.

2. Увімкнення двофакторної автентифікації для всіх облікових записів Google Cloud

Згідно зі звітом Verizon Data Breach Investigations Report за 2023 рік, 80% витоків даних відбувається через слабкі паролі. За даними WifiTalents, компанії можуть знизити ризик фішингових атак на 48% за допомогою багатофакторної автентифікації.

Двофакторна автентифікація (2FA), також відома як багатофакторна автентифікація, забезпечує надійний захист від несанкціонованого доступу. Навіть якщо хакер отримає ваш пароль, він не зможе отримати доступ до вашого облікового запису без другого фактора. MFA означає другу форму перевірки, наприклад, код, надісланий на ваш телефон, або сканування відбитків пальців.

Безпека Google Cloud Platform передбачає чотири варіанти 2FA:

• Програма Google Authenticator;
• Захисні ключі;
• SMS або голосове підтвердження;
• Резервні коди.

Як налаштувати 2FA в Google Cloud:

1. У консолі адміністратора перейдіть до меню > Безпека > Автентифікація > 2-етапна перевірка.
2. Натисніть “Дозволити користувачам вмикати 2-етапну перевірку“.
3. Натисніть “Почати” та виконайте інструкції на екрані, щоб увімкнути 2-етапну перевірку для вашої організації.
4. У розділі 2-етапної перевірки натисніть на Застосування > Виберіть варіант застосування (Увімкнути, Вимкнути, Налаштувати) > Натисніть “Зберегти“.
5. У розділі 2-етапної перевірки перейдіть до Методи автентифікації > Виберіть дозволені методи (Google Authenticator, захисні ключі, SMS/Voice, резервні коди) > Натисніть “Зберегти“.
6. Повідомте користувачів про нову політику 2FA та надайте інструкції з налаштування та підтримку.
7. Відстежуйте дотримання політики у розділі Звіти > Безпека > 2-етапна перевірка та допомагайте користувачам за потреби.

3. Впровадження суворих політик керування ідентифікаторами та доступом (IAM)

Керування ідентифікаторами Google Cloud контролює, хто може мати доступ до вашої Google Cloud та інших ресурсів у потрібний час. В основі керування доступом Google Cloud лежить принцип мінімальних привілеїв. Дослідження Інституту Понемона показало, що 62% організацій не дотримуються цього принципу, що призводить до витоків даних. Не ставайте частиною цієї статистики.

Рекомендації щодо безпеки Google Cloud для впровадження суворих політик IAM:

1. Складіть список усіх ресурсів, які Google Cloud має у вашому середовищі.
2. Визначте ролі, необхідні для доступу та керування цими ресурсами.
3. Призначте дозволи кожній ролі на основі концепції мінімальних привілеїв.
4. Користувачів можна групувати за їхніми ролями, а групам можна надавати дозволи.
5. Створіть процедуру для регулярної перевірки членства в групах та прав користувачів.

Використовуйте такі інструменти, як Google Cloud Asset Graph Viewer, щоб візуалізувати ваші політики IAM. Легше виявити проблеми, коли ви бачите залежності.

4. Шифруйте всі дані в стані спокою та під час передачі

Шифрування даних забезпечує безпеку Google Cloud Platform, захищаючи ваші конфіденційні дані під час передачі та зберігання.

Коли дані знаходяться в стані спокою, це означає, що вони зберігаються в базі даних, файловій системі або хмарному сховищі. Google Cloud Storage пропонує кілька рівнів шифрування даних:

1. Шифрування за замовчуванням: усі дані в Cloud Storage, BigQuery і дисках Compute Engine шифруються за замовчуванням. Використовується AES-256, один із найпотужніших алгоритмів шифрування.
2. Ключі керування шифруванням, керовані клієнтом (CMEK): дозволяє створювати та керувати ключами за допомогою служби Cloud Key Management Service (KMS).
3. Ключі шифрування, надані клієнтом (CSEK): Якщо ви надаєте власні ключі шифрування, Google використовує ваш ключ для захисту ключів, які вона генерує для шифрування та дешифрування ваших даних.

Дані під час передачі вразливі до перехоплення. Шифрування мережі Google Cloud гарантує, що дані залишаються конфіденційними під час переміщення:

1. В межах Google Cloud: усі дані, що передаються між службами Google Cloud, шифруються за замовчуванням. Використовуються протоколи, такі як SSL/TLS.
2. Між Google Cloud і користувачами/програмами: використовуйте HTTPS для веб-програм — для API використовуйте TLS 1.2 або новішої версії.
3. Між локальним середовищем і Google Cloud: використовуйте Cloud VPN або Cloud Interconnect для шифрованих тунелів.

5. Використовуйте комплексні функції ведення журналу та моніторингу Google Cloud

Функції ведення журналу та моніторингу дають змогу стежити за вашою інфраструктурою, програмами та ресурсами, дозволяючи швидко виявляти та вирішувати проблеми безпеки, продуктивності та порушення у вашій роботі.

Рекомендації щодо безпеки Google Cloud для інтеграції ведення журналу та моніторингу:

1. Центр безпеки (SCC): Єдина платформа керування безпекою Google. Збирає дані з Cloud Logging і Monitoring.
2. Кореляція оповіщень: Використовуйте SCC для співставлення оповіщень із ведення журналу та моніторингу. Наприклад: різке зростання невдалих входів (ведення журналу) + незвичайний вихідний трафік (моніторинг) можуть свідчити про витік даних.
3. Інтеграція реагування на інциденти: Надсилайте журнали та оповіщення до інструментів, таких як PagerDuty або Jira. Автоматичне створення tiketів для швидшого реагування на інциденти.

6. Підтримуйте оновлення та патчі для вашої Google Cloud Platform

Google Cloud пропонує автоматизоване керування патчами для багатьох служб. Наприклад, ви можете використовувати службу керування патчами ОС для автоматичного застосування патчів до операційних систем і сторонніх програм. Container Analysis сканує контейнерні образи на наявність вразливостей, допомагаючи вам виявляти та усувати загрози безпеці до їхнього розгортання у виробничому середовищі.

Постійно застосовуючи виправлення та оновлення, ви посилюєте свій захист від цих атак:

• Увімкніть автоматичні оновлення для програм і служб Google Cloud, коли це можливо.
• Створіть регулярний графік застосування патчів для ресурсів, які не дозволяють автоматичного оновлення.
• Встановлюйте важливі оновлення безпеки в порядку пріоритету.
• Патчі слід ретельно протестувати в тестовому середовищі перед застосуванням до виробничих середовищ.
• Щоб ваші хмарні ресурси були захищені від відомих вразливостей та оновлені, слідкуйте за станом їхніх патчів.

Правила безпеки GCP регулярно оновлюються для його хмарних служб, усуваючи вразливості та покращуючи функції безпеки. Важливо бути в курсі цих оновлень і швидко їх застосовувати.

7. Регулярно створюйте резервні копії та тестуйте свої робочі навантаження

Навіть за наявності найнадійніших заходів безпеки, непередбачені події, такі як апаратні збої, стихійні лиха або навіть випадкове видалення, можуть поставити під загрозу ваші дані. Резервні копії є вашим запобіжним заходом, гарантуючи, що ви зможете швидко відновитися та мінімізувати простої у випадку несподіваних невдач.

Google Cloud пропонує широкий спектр рішень для резервного копіювання:

• Знімки;
• Резервне копіювання для GKE;
• Хмарне сховище;
• Сторонні рішення для резервного копіювання.

Регулярне тестування резервних копій є критично важливим, щоб переконатися, що вони повні, узгоджені та їх можна успішно відновити у разі аварійної ситуації. Цей процес перевіряє ваш план резервного копіювання та відновлення даних у хмарі та дає вам впевненість у тому, що ваші дані захищені.

8. Впровадження надійного керування безпекою мережі

Основний шлях, який з’єднує ваші ресурси в усій хмарній інфраструктурі Google, проходить через вашу мережу. Необхідно застосувати надійні заходи безпеки даних Google Cloud для захисту цього каналу зв’язку від атак зловмисників, несанкціонованого доступу та витоків даних. За допомогою Google Cloud ви можете використовувати багаторівневий підхід до безпеки мережі для захисту ваших безцінних активів.

Ви можете встановити правила, які регулюють трафік, дозволений для входу та виходу з вашої віртуальної приватної хмари (VPC), використовуючи брандмауер Google Cloud. Правильно визначаючи правила брандмауера, ви можете відфільтрувати небажані дані, обмежити доступ до ресурсів і сегментувати мережу для підвищення захисту.

Потрібен безпечний зв’язок із Google Cloud із вашої локальної мережі? Рішенням є хмарний VPN. Він гарантує безпечний потік даних між вашими мережами, створюючи зашифрований тунель через відкритий Інтернет. У гібридних хмарних сценаріях хмарний VPN ідеально підходить для підключення ресурсів, розташованих у різних середовищах.

9. Використовуйте Центр безпеки Google Cloud (SCC)

Центр безпеки Google Cloud (SCC) — це ваше всевидяче око, яке забезпечує централізований центр для моніторингу, оцінки та покращення вашої безпеки. Він консолідує висновки щодо безпеки, рекомендації та аналітичні дані на єдиній, інтуїтивно зрозумілій панелі керування. SCC пропонує аудит, порівнюючи ваші конфігурації, дозволи та налаштування мережі з галузевими стандартами та передовою практикою.

Не зупиняйтеся на цьому.

Регулярно переглядайте висновки та рекомендації SCC, щоб підтримувати належний рівень безпеки. Зосередьте свої зусилля на виправленні серйозних помилок конфігурації та вразливостей, які становлять для вас найбільшу небезпеку. Для побудови повної екосистеми безпеки інтегруйте SCC з додатковими продуктами та службами безпеки GCP.

10. Залишайтеся пильними та слідкуйте за останніми оновленнями безпеки Google Cloud

Google Cloud регулярно оновлює рекомендації щодо безпеки GCP, пропонує нові функції та висвітлює нові загрози в публікаціях блогів, статтях та новинах. Зробіть звичкою регулярно перевіряти ці ресурси, щоб бути в курсі подій. Вони також пропонують дослідження та аналіз тенденцій кібербезпеки, які можуть допомогти вам отримати важливе розуміння того, як змінюється ландшафт загроз.

Інформованість про нові тенденції безпеки допомагає вам передбачити потенційні загрози та заздалегідь скоригувати заходи безпеки.

Як Cloudfresh може допомогти?

Як Google Cloud Premier Partner, Cloudfresh має команду кваліфікованих експертів, які розуміються на нюансах безпеки даних у Google Cloud:

• Наші консультанти з Google Cloud проведуть комплексну оцінку вашої існуючої інфраструктури, знайдуть слабкі місця та запропонують ефективні рішення.
• Щоб забезпечити максимальний захист ваших даних і ресурсів, ми допоможемо вам налаштувати систему безпеки GCP і пов’язані з нею інструменти та сервіси.
• Команда підтримки готова допомогти вам у вирішенні будь-яких проблем безпеки або інцидентів, забезпечуючи постійний моніторинг та проактивне реагування.

Ми пропонуємо низку професійних послуг, які опосередковано покращують вашу безпеку. Від оцінки ІТ-інфраструктури та міграції VMware до контейнеризації та конвеєрів CI/CD – наш досвід у GCP гарантує, що ваше хмарне середовище буде оптимізоване та захищене. Ми оцінюємо вашу інфраструктуру, мігруємо ваші ресурси та впроваджуємо сучасні технології, такі як BeyondCorp та Anthos, які за замовчуванням ставлять безпеку на перше місце.

Зацікавлені у зміцненні свого хмарного середовища Google? Хочете дізнатися більше? Зверніться до нашої команди за консультацією щодо професійних послуг, адаптованих до ваших потреб.