Back
Google Cloud Platform (GCP) - одна з найкращих визнаних хмарних платформ, яка ділить перше місце з AWS і Azure. Багато онлайн сервісів обирають Google Kubernetes Engine (GKE) та інші послуги для розміщення додатків і інфраструктур. Ми знаємо, як це важко досягти безпеки в успадкованих проектах. Особливо, якщо безпеку не впровадили з самого початку. Тож, що саме треба прийняти до уваги спеціалістам по кібербезпеці в стеку GCP/GKE?
Запобігання помилок, пов'язаним з людським фактором
Найбільш поширеною помилкою, яку здійснюють люди, є звичайна друкарська помилка. Ми бачили керівництва з розгортання на сотні сторінок, де так легко щось пропустити і залишити систему незахищеною. Рішенням цієї проблеми є використання автоматизованої системи розміщення з допомогою Terraform. Це золотий стандарт для хмарних інфраструктур.
Забезпечення секретності проектного рівня
В GCP проект є ресурсною одиницею. Розділіть свою інфраструктуру на декілька окремих проектів і надайте розробникам мінімальні права на них. Також, не слід мати зв'язки між проектами в тестовому та робочому середовищах. Використовуйте такий механізм відповідності, як "Falco", щоб спостерігати за важливими атрибутами проекту чи інфраструктури.
Захищайте мережу
Намагайтесь зменшити до мінімуму вплив зовнішньої мережі. Завдяки широкому вибору сучасних хмарних технологій це можна забезпечити без особливих зусиль. Наприклад:
- підключайтесь із 'kubectl port-forward', якщо вам потрібен сервіс GKE для інших внутрішніх цілей. Не потрібно його розміщувати.
- використовуйте технологію тунелювання Argo для Cloudflare, що дозволяє не мати зовнішньої IP-адреси.
- якщо вам все-таки треба розмістити сервіс, то використовуйте технологію білого списку: білий список IP-адрес, яким дозволено підключатись до головного вузла Kubernetes, вхідного об'єкту Kubernetes і так далі.
- використовуйте шаблон Pub/Sub для обміну повідомленнями між компонентами.
Відстежуйте доступ
Незважаючи на те, що це більш адміністративний контроль, він дуже важливий. Слід відстежувати весь доступ між користувачами, системами і компонентами. Дуже важко повністю забрати весь доступ, тому пам'ятайте про це:
- слід відстежувати доступ користувачів за допомогою пароля та ключів SSH для безпечного використання віртуальних машин.
- для різних об'єктів сервісу враховуйте доступ через облікові дані користувачів і службові маркери.
- відслідковуйте користувачів Kubernetes для безпечного використання GKE.
- і напевно не зашифровуйте паролі/ключі в самому коді додатку.
По можливості намагайтесь зменшити площу атак: намагайтесь відходити від віртуальних машин, використовуйте GKE. Або навіть краще - використовуйте функції Google для будь-яких функцій, що не зберігають стан.
Ми маємо багатий досвід захисту в GCP/AWS//Azure хмарах. Зв'яжіться з нашим відділом продажів, якщо вам потрібен будь-який вид аудиту або послуги з операціями безпеки.