मार्गदर्शिका

GKE वर्कलोड को सेवा खाता कुंजियों का प्रबंधन किए बिना GCP APIs तक पहुंचने की आवश्यकता है।

→GKE क्लस्टर पर Workload Identity को सक्षम और कॉन्फ़िगर करें। Kubernetes Service Accounts (KSA) को Google Service Accounts (GSA) से मैप करें।

क्यों: KSA टोकन से प्राप्त अल्पकालिक, स्वचालित रूप से घुमाए गए क्रेडेंशियल का उपयोग करके लीक हुई सेवा खाता कुंजियों के जोखिम को समाप्त करता है।

संदर्भ↗

उपयोगकर्ता पहचान और डिवाइस स्थिति के आधार पर, VPN के बिना, किसी भी नेटवर्क से आंतरिक वेब ऐप्स तक पहुंच प्रदान करें।

→Access Context Manager के साथ Identity-Aware Proxy (IAP) का उपयोग करें। IP, डिवाइस स्थिति (Endpoint Verification के माध्यम से), और उपयोगकर्ता पहचान के आधार पर एक्सेस स्तर परिभाषित करें।

क्यों: पहुंच नियंत्रण को नेटवर्क परिधि से व्यक्तिगत उपयोगकर्ताओं और उपकरणों में स्थानांतरित करता है, शून्य-ट्रस्ट सिद्धांतों को लागू करता है।

संदर्भ↗

एक CI/CD पाइपलाइन (जैसे, GitHub Actions, GitLab) को लंबे समय तक रहने वाले क्रेडेंशियल्स के बिना GCP संसाधनों तक पहुंचने की आवश्यकता है।

→Workload Identity Federation का उपयोग करें। बाहरी IdP (जैसे, GitHub OIDC) के लिए एक प्रदाता पूल बनाएं और विशिष्ट रिपॉजिटरी या ब्रांच तक पहुंच को प्रतिबंधित करने के लिए विशेषता शर्तें कॉन्फ़िगर करें।

क्यों: बाहरी वर्कलोड के लिए कीलेस प्रमाणीकरण। बाहरी सिस्टम अपना टोकन प्रदान करता है, जिसे अल्पकालिक GCP टोकन के लिए आदान-प्रदान किया जाता है।

संपूर्ण संगठन में IAM सुरक्षा नीतियों को लागू करें, जैसे सेवा खाता कुंजी निर्माण को रोकना या IAM अनुदानों को विशिष्ट डोमेन तक सीमित करना।

→`iam.disableServiceAccountKeyCreation` और `iam.allowedPolicyMemberDomains` जैसी Organization Policy बाधाओं का उपयोग करें।

क्यों: Organization Policies विरासत में मिली हैं और परियोजना मालिकों द्वारा ओवरराइड नहीं की जा सकतीं, जिससे लगातार सुरक्षा स्थिति सुनिश्चित होती है।

किसी घटना के लिए किसी उपयोगकर्ता को उत्पादन वातावरण तक अस्थायी, ऑडिट करने योग्य और अनुमोदन-गेटेड प्रशासनिक पहुंच की आवश्यकता है।

→जस्ट-इन-टाइम (JIT) एक्सेस के लिए Privileged Access Manager (PAM) का उपयोग करें। उपयोगकर्ता सीमित समय के लिए एक विशिष्ट भूमिका का अनुरोध करता है, जो एक अनुमोदन वर्कफ़्लो से गुजरता है।

क्यों: स्थायी विशेषाधिकारों को समाप्त करता है, एक बड़ा सुरक्षा जोखिम। एक्सेस समय-बद्ध, न्यायसंगत और पूरी तरह से ऑडिट किया जाता है।

कई टीमें एक GKE क्लस्टर साझा करती हैं। प्रत्येक टीम को केवल अपने स्वयं के नेमसस्पेस के भीतर संसाधनों का प्रबंधन करना चाहिए।

→परियोजना स्तर पर IAM भूमिका `roles/container.clusterViewer` प्रदान करें। विशिष्ट अनुमतियां (जैसे, संपादन, दृश्य) प्रदान करने के लिए प्रत्येक नेमसस्पेस के भीतर Kubernetes RBAC `Role` और `RoleBinding` का उपयोग करें।

क्यों: क्लस्टर-स्तर प्रमाणीकरण (IAM) को नेमसस्पेस-स्तर प्राधिकरण (Kubernetes RBAC) से अलग करता है, जिससे बारीक, मल्टी-टेनेंट नियंत्रण मिलता है।

APIs को स्टैटिक कुंजियों के बजाय अल्पकालिक क्रेडेंशियल्स का उपयोग करके कॉल किया जाना चाहिए।

→सेवा खाता प्रतिरूपण का उपयोग करें। लक्ष्य सेवा खाते पर `roles/iam.serviceAccountTokenCreator` भूमिका के लिए एक प्रिंसिपल प्रदान करें ताकि अल्पकालिक OAuth 2.0 एक्सेस टोकन उत्पन्न हो सकें।

क्यों: लंबे समय तक रहने वाली कुंजियों को वितरित और प्रबंधित करने से बचाता है। टोकन स्वचालित रूप से समाप्त हो जाते हैं (डिफ़ॉल्ट 1 घंटा), समझौता होने पर जोखिम कम हो जाता है।

एक ठेकेदार को विशिष्ट संसाधनों तक पहुंच की आवश्यकता है, लेकिन पहुंच 30 दिनों के बाद स्वचालित रूप से समाप्त हो जानी चाहिए।

→समय-आधारित IAM Condition के साथ आवश्यक IAM भूमिका प्रदान करें, जैसे `request.time < timestamp("YYYY-MM-DDTHH:MM:SSZ")`।

क्यों: पहुंच निरस्तीकरण को स्वचालित करता है, मैन्युअल सफाई से बचा जाता है और यह सुनिश्चित करता है कि पहुंच अनजाने में लंबी न हो।

केवल CI/CD पाइपलाइन द्वारा हस्ताक्षरित कंटेनर छवियों को उत्पादन GKE क्लस्टर में तैनात करने की अनुमति दें।

→Binary Authorization लागू करें। छवियों पर हस्ताक्षर करने के लिए CI पाइपलाइन में एक सत्यापन बनाएं। इस सत्यापन की आवश्यकता के लिए GKE क्लस्टर पर एक Binary Authorization नीति कॉन्फ़िगर करें।

क्यों: उत्पादन में अविवेकी या छेड़छाड़ की गई छवियों को चलाने से रोककर एक सुरक्षित सॉफ्टवेयर आपूर्ति श्रृंखला को लागू करता है।

संदर्भ↗

संसाधनों को उनके असाइन किए गए टैग के आधार पर अनुमतियां प्रदान करें, न कि व्यक्तिगत संसाधन नामों के आधार पर।

→संसाधन टैग अभिव्यक्तियों के साथ IAM Conditions का उपयोग करें, जैसे `resource.matchTag("123456789/env", "prod")`।

क्यों: स्केलेबल, एट्रीब्यूट-आधारित एक्सेस कंट्रोल (ABAC) को सक्षम करता है। अनुमतियां गतिशील होती हैं और संसाधनों को टैग किए जाने पर स्वचालित रूप से लागू होती हैं।

एक सेवा परियोजना को नेटवर्क एडमिन अधिकार दिए बिना Shared VPC होस्ट परियोजना में VMs तैनात करने की अनुमति दें।

→होस्ट परियोजना में, सेवा परियोजना के सेवा खाते को विशिष्ट सबनेट पर `roles/compute.networkUser` भूमिका प्रदान करें जिसे उसे उपयोग करने की आवश्यकता है।

क्यों: सबसे कम विशेषाधिकार का पालन करता है। सेवा परियोजनाएं नेटवर्क का उपयोग कर सकती हैं लेकिन इसे संशोधित नहीं कर सकती हैं (जैसे, फ़ायरवॉल नियम बदलें), जो केंद्रीय रूप से प्रबंधित रहता है।

`storage.admin` वाले उपयोगकर्ता बकेट नहीं बना सकते। आपको मूल कारण की पहचान करने की आवश्यकता है।

→उच्च स्तर (फ़ोल्डर, संगठन) पर एक IAM Deny Policy की जांच करें जो `storage.buckets.create` अनुमति को अस्वीकार करती है।

क्यों: IAM Deny नीतियां हमेशा किसी भी अनुमति नीतियों को ओवरराइड करती हैं। यह गैर-परक्राम्य सुरक्षा सीमाओं को लागू करने के लिए एक शक्तिशाली उपकरण है।

Google Cloud कंसोल तक पहुंचने के लिए ऑन-प्रिमाइसेस Active Directory उपयोगकर्ताओं के लिए SSO सक्षम करें।

→पहचान को Cloud Identity से सिंक करने के लिए Google Cloud Directory Sync (GCDS) का उपयोग करें। Cloud Identity और AD FS (या किसी अन्य IdP) के बीच फेडरेशन (SAML) कॉन्फ़िगर करें।

क्यों: उपयोगकर्ताओं के लिए एक सहज, फेडरेटेड SSO अनुभव प्रदान करते हुए AD को पहचान के लिए सत्य के स्रोत के रूप में बनाए रखता है।

GCP में डेटा को एन्क्रिप्ट करें, लेकिन एन्क्रिप्शन कुंजी कभी भी ऑन-प्रिमाइसेस HSM से बाहर नहीं जानी चाहिए।

→Cloud External Key Manager (EKM) का उपयोग करें। यह GCP सेवाओं को CMEK संचालन के लिए बाहरी कुंजी प्रबंधन प्रणाली से कुंजियों का उपयोग करने की अनुमति देता है।

क्यों: कुंजी सामग्री को Google Cloud के बाहर रखकर अधिकतम नियंत्रण प्रदान करता है और सख्त डेटा संप्रभुता आवश्यकताओं को पूरा करता है।

संदर्भ↗

सभी Cloud Storage और BigQuery संपत्तियों में संवेदनशील डेटा (PII, PHI) को स्वचालित रूप से खोजें और वर्गीकृत करें।

→Cloud Data Loss Prevention (DLP) डिस्कवरी स्कैन कॉन्फ़िगर करें। परिणाम स्वचालित रूप से Data Catalog को टैग के साथ भर सकते हैं।

क्यों: एक स्वचालित डेटा इन्वेंटरी और वर्गीकरण प्रदान करता है, जो डेटा गवर्नेंस और सुरक्षा नीतियों की नींव है।

एक एनालिटिक्स टीम को PII वाले डेटा को क्वेरी करने की आवश्यकता है, लेकिन कच्चे संवेदनशील मानों को नहीं देखना चाहिए। रेफरेंशियल इंटीग्रिटी बनाए रखी जानी चाहिए।

→निर्धारक एन्क्रिप्शन या क्रिप्टोग्राफिक हैशिंग के साथ एक Cloud DLP डी-आइडेंटिफिकेशन टेम्पलेट का उपयोग करें।

क्यों: संवेदनशील डेटा को छद्मनामों में बदलता है। निर्धारक विधियां सुनिश्चित करती हैं कि समान इनपुट हमेशा समान आउटपुट उत्पन्न करता है, जिससे जॉइन और एकत्रीकरण की अनुमति मिलती है।

एक अनुपालन ढांचा (जैसे, वित्तीय सेवाओं के लिए) को FIPS 140-2 Level 3 प्रमाणित HSM द्वारा संरक्षित एन्क्रिप्शन कुंजियों की आवश्यकता होती है।

→HSM के सुरक्षा स्तर के साथ Cloud KMS का उपयोग करें। यह एक प्रबंधित हार्डवेयर सुरक्षा मॉड्यूल के भीतर कुंजियां बनाता है।

क्यों: भौतिक HSMs का प्रबंधन किए बिना कुंजी प्रबंधन के लिए समर्पित, प्रमाणित हार्डवेयर का उपयोग करके उच्च-स्तरीय अनुपालन आवश्यकताओं को पूरा करता है।

सुनिश्चित करें कि नए संसाधन (जैसे, GCS बकेट, BigQuery डेटासेट) हमेशा ग्राहक-प्रबंधित कुंजियों (CMEK) के साथ एन्क्रिप्टेड हों, न कि Google-प्रबंधित कुंजियों के साथ।

→`constraints/gcp.restrictNonCmekServices` Organization Policy लागू करें।

क्यों: एक निवारक नियंत्रण प्रदान करता है जो निर्दिष्ट सेवाओं को CMEK का उपयोग करने के लिए मजबूर करता है, जिससे एक सुसंगत डेटा सुरक्षा स्थिति सुनिश्चित होती है।

कानूनी या अनुपालन कारणों से डेटा को एक विशिष्ट प्रतिधारण अवधि के लिए एक अपरिवर्तनीय (WORM - Write-Once-Read-Many) स्थिति में संग्रहीत किया जाना चाहिए।

→एक प्रतिधारण नीति के साथ एक Cloud Storage बकेट कॉन्फ़िगर करें और Bucket Lock सक्षम करें।

क्यों: Bucket Lock प्रतिधारण नीति को अपरिवर्तनीय बनाता है, यह सुनिश्चित करता है कि प्रतिधारण अवधि समाप्त होने तक ऑब्जेक्ट्स को हटा या संशोधित नहीं किया जा सकता है, यहां तक कि प्रशासकों द्वारा भी नहीं।

रहस्य के रूप में संग्रहीत एप्लिकेशन डेटाबेस क्रेडेंशियल्स को एप्लिकेशन डाउनटाइम के बिना स्वचालित रूप से घुमाया जाना चाहिए।

→स्वचालित रोटेशन के साथ Secret Manager का उपयोग करें। रोटेशन एक Cloud Function को ट्रिगर करता है जो डेटाबेस में पासवर्ड को अपडेट करता है और एक नया रहस्य संस्करण बनाता है।

क्यों: प्रबंधित, स्वचालित रोटेशन क्रेडेंशियल समझौता के जोखिम को कम करता है। एप्लिकेशन नए रहस्य को सहजता से लेने के लिए `latest` संस्करण का संदर्भ देते हैं।

एक वर्कलोड अत्यधिक संवेदनशील डेटा को संसाधित करता है, और डेटा मेमोरी में (उपयोग में रहते हुए भी) एन्क्रिप्टेड रहना चाहिए।

→Confidential VMs पर वर्कलोड तैनात करके Confidential Computing का उपयोग करें।

क्यों: हार्डवेयर-आधारित मेमोरी एन्क्रिप्शन प्रदान करता है, हाइपरवाइज़र और अन्य VMs से डेटा की सुरक्षा करता है। वातावरण की अखंडता को सत्यापित करने के लिए सत्यापन का उपयोग करें।

अलग-अलग दृश्य बनाए बिना BigQuery तालिका में विशिष्ट संवेदनशील कॉलम तक पहुंच को प्रतिबंधित करें।

→BigQuery कॉलम-स्तरीय सुरक्षा का उपयोग करें। संवेदनशील कॉलम पर Data Catalog पॉलिसी टैग लागू करें और उन पॉलिसी टैग पर अधिकृत उपयोगकर्ताओं/समूहों को "Fine-Grained Reader" भूमिका प्रदान करें।

क्यों: तालिका पर सीधे बारीक पहुंच लागू करता है, जो कई अधिकृत दृश्यों को बनाए रखने की तुलना में अधिक स्केलेबल और प्रबंधनीय है।

GCS बकेट में संवेदनशील डेटा को सुरक्षित रखें, भले ही IAM अनुमतियां गलत तरीके से कॉन्फ़िगर की गई हों और सार्वजनिक पहुंच प्रदान करें।

→ग्राहक-प्रबंधित एन्क्रिप्शन कुंजी (CMEK) के साथ ऑब्जेक्ट्स को एन्क्रिप्ट करें और Cloud KMS में उस कुंजी तक पहुंच को सख्ती से नियंत्रित करें।

क्यों: एक दो-कुंजी प्रणाली बनाता है। एक हमलावर को डेटा को डिक्रिप्ट करने के लिए GCS ऑब्जेक्ट और KMS कुंजी दोनों के लिए अनुमतियों की आवश्यकता होती है, जो गहराई में रक्षा प्रदान करता है।

महत्वपूर्ण Cloud KMS कुंजियों के आकस्मिक या दुर्भावनापूर्ण तत्काल विलोपन को रोकें।

→कुंजी बनाते समय, `destroy_scheduled_duration` गुण को 30 दिनों जैसे मान पर कॉन्फ़िगर करें।

क्यों: कुंजी को स्थायी रूप से नष्ट करने से पहले एक प्रतीक्षा अवधि लागू करता है, जो आकस्मिक विलोपन से उबरने के लिए एक विंडो प्रदान करता है।

Cloud Storage में एक फ़ाइल अपलोड होने के बाद से परिवर्तित नहीं हुई है, यह साबित करने के लिए एक कानूनी आवश्यकता।

→डाउनलोड पर, फ़ाइल के MD5 या CRC32C हैश की फिर से गणना करें और इसे Cloud Storage ऑब्जेक्ट मेटाडेटा में संग्रहीत हैश से तुलना करें।

क्यों: ऑब्जेक्ट अखंडता का क्रिप्टोग्राफिक प्रमाण प्रदान करता है। Cloud Storage स्वचालित रूप से अपलोड पर इन हैश की गणना और भंडारण करता है।

संवेदनशील परियोजना से सार्वजनिक बकेट में डेटा कॉपी होने से रोकें, भले ही `owner` भूमिका वाले उपयोगकर्ता द्वारा।

→संवेदनशील परियोजना को VPC Service Controls परिधि के भीतर रखें। यह परिधि के बाहर अन्य परियोजनाओं में डेटा आंदोलन को प्रतिबंधित करता है।

क्यों: VPC Service Controls एक डेटा-केंद्रित फ़ायरवॉल के रूप में कार्य करता है जो डेटा निकास के लिए IAM अनुमतियों को ओवरराइड करता है, जो डेटा निकास के खिलाफ एक शक्तिशाली रक्षा प्रदान करता है।

संदर्भ↗

सार्वजनिक-सामने वाले वेब एप्लिकेशन को वॉल्यूमेट्रिक DDoS हमलों और सामान्य वेब शोषण (जैसे, SQLi, XSS) से बचाएं।

→एप्लिकेशन को ग्लोबल एक्सटर्नल HTTP(S) लोड बैलेंसर के पीछे रखें और पूर्व-कॉन्फ़िगर WAF नियमों के साथ एक Cloud Armor सुरक्षा नीति संलग्न करें।

क्यों: लोड बैलेंसर Google के किनारे पर DDoS हमलों को अवशोषित करता है। Cloud Armor OWASP टॉप 10 खतरों को ब्लॉक करने के लिए एक प्रबंधित वेब एप्लिकेशन फ़ायरवॉल प्रदान करता है।

ऑन-प्रिम से GCP कनेक्टिविटी के लिए Dedicated Interconnect का उपयोग किया जाता है, लेकिन अनुपालन के लिए ट्रैफ़िक एन्क्रिप्टेड होना चाहिए।

→Cloud Interconnect VLAN अटैचमेंट पर एक HA VPN सुरंग कॉन्फ़िगर करें।

क्यों: एक समर्पित कनेक्शन की उच्च बैंडविड्थ और कम विलंबता को VPN के IPsec एन्क्रिप्शन के साथ जोड़ता है।

ऑन-प्रिमाइसेस सिस्टम को सार्वजनिक इंटरनेट को पार किए बिना Google APIs (जैसे, BigQuery, GCS) को कॉल करने की आवश्यकता है।

→ऑन-प्रिमाइसेस होस्ट के लिए Private Google Access कॉन्फ़िगर करें। Cloud Interconnect या VPN का उपयोग करें, और `*.googleapis.com` को प्रतिबंधित VIP रेंज में हल करने के लिए DNS कॉन्फ़िगर करें।

क्यों: Google सेवाओं के लिए ट्रैफ़िक को Google के निजी नेटवर्क पर रखता है, सुरक्षा बढ़ाता है और संभावित रूप से निकास लागत को कम करता है।

एक GKE क्लस्टर के भीतर सभी सेवा-से-सेवा संचार के लिए म्यूचुअल TLS (mTLS) लागू करें।

→Anthos Service Mesh (या Istio) तैनात करें और संबंधित नेमसस्पेस के लिए सख्त mTLS पीयर प्रमाणीकरण सक्षम करें।

क्यों: एप्लिकेशन कोड परिवर्तन के बिना, मेश के भीतर सभी ट्रैफ़िक को स्वचालित रूप से एन्क्रिप्ट और प्रमाणित करता है, जिससे शून्य-ट्रस्ट नेटवर्क मॉडल प्राप्त होता है।

एक उपभोक्ता VPC को पीयरिंग या सार्वजनिक IPs का उपयोग किए बिना एक उत्पादक VPC में चल रही सेवा (जैसे, एक आंतरिक API) तक निजी तौर पर पहुंचने की आवश्यकता है।

→उत्पादक Private Service Connect का उपयोग करके सेवा प्रकाशित करता है। उपभोक्ता अपने VPC में एक एंडपॉइंट बनाता है जो निजी तौर पर सेवा को रूट करता है।

क्यों: नेटवर्क कनेक्टिविटी को सेवा पहुंच से अलग करता है। यह VPCs और संगठनों में सेवाओं तक निजी पहुंच प्रदान करने का आधुनिक, स्केलेबल तरीका है।

एक GKE क्लस्टर तैनात करें जहां नोड्स में कोई सार्वजनिक IP नहीं है और नियंत्रण प्लेन इंटरनेट पर उजागर नहीं होता है।

→एक Private GKE क्लस्टर बनाएं। GCP APIs तक नोड पहुंच के लिए सबनेट पर Private Google Access सक्षम करें। नियंत्रण प्लेन पहुंच को विशिष्ट IP तक (जैसे, कॉर्पोरेट नेटवर्क) प्रतिबंधित करने के लिए मास्टर अधिकृत नेटवर्क कॉन्फ़िगर करें।

क्यों: नोड्स और नियंत्रण प्लेन दोनों के लिए सार्वजनिक एंडपॉइंट्स को हटाकर क्लस्टर के हमले की सतह को काफी कम कर देता है।

एक GKE क्लस्टर में, `frontend` सेवा के लिए पॉड्स को केवल `backend` सेवा के पॉड्स के साथ संचार करने की अनुमति होनी चाहिए, और कुछ भी नहीं।

→Kubernetes NetworkPolicy संसाधन बनाएं। `backend` पॉड्स पर एक इनग्रेस नीति लागू करें जो पॉड लेबल्स के आधार पर केवल `frontend` पॉड्स से ट्रैफ़िक की अनुमति देती है।

क्यों: क्लस्टर के भीतर पॉड-स्तरीय फ़ायरवॉलिंग प्रदान करता है, जो माइक्रोसेर्विसेस के लिए एक सबसे कम-विशेषाधिकार नेटवर्क मॉडल को सक्षम करता है।

बाहरी IP के बिना VMs को इंटरनेट तक पहुंचने की आवश्यकता है। सभी निकास ट्रैफ़िक तीसरे पक्ष द्वारा अनुमत सूचियों के लिए अनुमानित IP पते के एक छोटे सेट से उत्पन्न होना चाहिए।

→VMs वाले सबनेट के लिए Cloud NAT कॉन्फ़िगर करें।

क्यों: निजी इंस्टेंस से इंटरनेट-बाउंड ट्रैफ़िक के लिए प्रबंधित नेटवर्क एड्रेस ट्रांसलेशन प्रदान करता है, जिसमें केंद्रीकृत लॉगिंग और IP आवंटन शामिल है।

संगठन भर में एक बेसलाइन फ़ायरवॉल नियम लागू करें, जैसे इंटरनेट से सभी SSH को अस्वीकार करना, जिसे परियोजना टीमों द्वारा ओवरराइड नहीं किया जा सकता है।

→उच्च प्राथमिकता पर `0.0.0.0/0` से पोर्ट 22 के लिए एक अस्वीकृति नियम के साथ संगठन या फ़ोल्डर स्तर पर एक Hierarchical Firewall Policy बनाएं।

क्यों: पदानुक्रमित नीतियों का मूल्यांकन VPC-स्तरीय नियमों से पहले किया जाता है, जिससे केंद्रीय सुरक्षा टीमों को गैर-परक्राम्य नेटवर्क सुरक्षा गार्ड लागू करने की अनुमति मिलती है।

सार्वजनिक DNS सर्वर पर क्वेरी लीक किए बिना एक VPC के भीतर आंतरिक होस्टनामों को हल करें।

→अपने आंतरिक डोमेन के लिए एक Cloud DNS निजी प्रबंधित ज़ोन कॉन्फ़िगर करें और इसे अपने VPC से संबद्ध करें।

क्यों: VPC नेटवर्क के भीतर आंतरिक संसाधनों के लिए आधिकारिक DNS प्रदान करता है, सुरक्षा और प्रबंधनीयता में सुधार करता है।

जब Security Command Center कोई खतरा (जैसे, क्रिप्टोमिंग) का पता लगाता है, तो प्रभावित VM को स्वचालित रूप से अलग करें।

→SCC को Pub/Sub विषय पर निष्कर्ष प्रकाशित करने के लिए कॉन्फ़िगर करें। एक Cloud Function को ट्रिगर करें जो निष्कर्ष प्राप्त करता है और एक पूर्व-कॉन्फ़िगर "क्वारंटाइन" फ़ायरवॉल नियम लागू करने के लिए VM के नेटवर्क टैग को संशोधित करता है।

क्यों: लगभग वास्तविक समय, स्वचालित घटना प्रतिक्रिया को सक्षम करता है, जिससे हमलावर को वातावरण में रहने का समय कम हो जाता है।

संगठन में सभी परियोजनाओं से ऑडिट लॉग एकत्र करें और उन्हें अनुपालन के लिए एक अपरिवर्तनीय प्रारूप में 7 साल तक संग्रहीत करें।

→एक Cloud Storage बकेट के लिए एक संगठन-स्तरीय लॉग सिंक बनाएं। गंतव्य बकेट को 7-वर्षीय प्रतिधारण नीति और Bucket Lock के साथ कॉन्फ़िगर करें।

क्यों: एक समेकित सिंक लॉग को केंद्रीकृत करता है। Bucket Lock सुनिश्चित करता है कि लॉग छेड़छाड़-प्रूफ हैं और सख्त अनुपालन प्रतिधारण आवश्यकताओं को पूरा करते हैं।

एक VM के साथ छेड़छाड़ का संदेह है। इसे तुरंत ऑफ़लाइन लिया जाना चाहिए, लेकिन फोरेंसिक विश्लेषण के लिए साक्ष्य संरक्षित किए जाने चाहिए।

→VM इंस्टेंस को रोकें (गतिविधि रोकने के लिए) और तुरंत इसकी स्थायी डिस्क का एक स्नैपशॉट बनाएं। फिर, इसे फ़ायरवॉल नियमों के साथ अलग करें।

क्यों: इंस्टेंस को रोकना खतरे को नियंत्रित करता है, जबकि स्नैपशॉट विश्लेषण के लिए डिस्क की एक बिंदु-में-समय प्रतिलिपि बनाता है, जिससे साक्ष्य के साथ छेड़छाड़ का कोई जोखिम नहीं होता है।

पता लगाएं कि सेवा खाता किसी असामान्य भौगोलिक स्थान से उपयोग किया जा रहा है या असामान्य गतिविधियां कर रहा है।

→Security Command Center Premium टियर सक्षम करें, जिसमें Event Threat Detection शामिल है। यह सेवा विषम व्यवहार के लिए लॉग का विश्लेषण करती है।

क्यों: Google की खतरे की खुफिया जानकारी और मशीन लर्निंग का उपयोग उन खतरों का पता लगाने के लिए करता है जिन्हें नियम-आधारित अलर्ट के साथ खोजना मुश्किल है, जैसे कि समझौता किए गए क्रेडेंशियल।

एक केंद्रीय सुरक्षा टीम को एक ही प्लेटफ़ॉर्म में GCP, AWS और ऑन-प्रिमाइसेस सिस्टम से सुरक्षा संकेतों का विश्लेषण और सहसंबंध करने की आवश्यकता है।

→सभी प्रासंगिक लॉग और टेलीमेट्री को Chronicle Security Operations (SIEM) में इन्गेस्ट करें।

क्यों: Chronicle एक क्लाउड-नेटिव SIEM है जिसे पेटबाइट-स्केल विश्लेषण के लिए डिज़ाइन किया गया है, जिसमें मल्टी-क्लाउड और हाइब्रिड वातावरण के लिए अंतर्निहित पार्सर और पहचान नियम हैं।

पता लगाएं कि Terraform द्वारा प्रबंधित GCP संसाधनों को कंसोल के माध्यम से मैन्युअल रूप से कब संशोधित किया जाता है, जिससे कॉन्फ़िगरेशन ड्रिफ्ट होता है।

→Pub/Sub विषय पर वास्तविक समय संपत्ति परिवर्तन सूचनाएं भेजने के लिए एक Cloud Asset Inventory फीड कॉन्फ़िगर करें। एक सेवा तब इन परिवर्तनों की तुलना Terraform स्थिति से कर सकती है।

क्यों: सभी संसाधन परिवर्तनों में वास्तविक समय की दृश्यता प्रदान करता है, जिससे आउट-ऑफ-बैंड संशोधनों का स्वचालित पता लगाना संभव होता है।

एक संगठन में हजारों SCC निष्कर्ष हैं और उन्हें उन लोगों पर ध्यान केंद्रित करने की आवश्यकता है जो महत्वपूर्ण संपत्तियों के लिए सबसे तत्काल जोखिम पैदा करते हैं।

→SCC Premium में Attack Path Simulation का उपयोग करें। उच्च-मूल्य वाली संपत्तियों को परिभाषित करें और सिमुलेशन उन निष्कर्षों की पहचान और प्राथमिकता देगा जो उन संपत्तियों तक सीधा रास्ता बनाते हैं।

क्यों: भेद्यता-आधारित से जोखिम-आधारित प्राथमिकता में परिवर्तन करता है। यह निष्कर्षों के जहरीले संयोजनों को उजागर करता है जिनका हमलावर फायदा उठा सकता है।

चल रहे GKE कंटेनर के अंदर दुर्भावनापूर्ण गतिविधि का पता लगाएं, जैसे एक अप्रत्याशित शेल या एक रिवर्स शेल कनेक्शन।

→Security Command Center में Container Threat Detection सक्षम करें।

क्यों: कंटेनर व्यवहार में रनटाइम दृश्यता प्रदान करता है, उन खतरों का पता लगाता है जिन्हें भेद्यता स्कैनिंग (जो रनटाइम से पहले होता है) नहीं देख सकता है।

एक नेटवर्क फोरेंसिक जांच के लिए दो विशिष्ट VMs के बीच ट्रैफ़िक की पूर्ण पैकेट सामग्री को कैप्चर और विश्लेषण करने की आवश्यकता है।

→स्रोत VMs से ट्रैफ़िक को क्लोन करने और उसे Wireshark या Zeek जैसे निरीक्षण उपकरण चलाने वाले कलेक्टर VM पर भेजने के लिए Packet Mirroring कॉन्फ़िगर करें।

क्यों: गहन विश्लेषण के लिए पूर्ण पैकेट कैप्चर प्रदान करता है, VPC Flow Logs के विपरीत जो केवल मेटाडेटा शामिल करते हैं।

असुरक्षित Terraform कॉन्फ़िगरेशन (जैसे, सार्वजनिक GCS बकेट) को तैनात होने से रोकें।

→CI/CD पाइपलाइन में `tfsec` या Checkov जैसे एक स्थिर विश्लेषण सुरक्षा परीक्षण (SAST) उपकरण को एकीकृत करें। यदि सुरक्षा उल्लंघन पाए जाते हैं तो बिल्ड को विफल करें।

क्यों: तैनात होने से पहले गलत कॉन्फ़िगरेशन को पकड़कर "शिफ्ट-लेफ्ट" सुरक्षा लागू करता है, जिससे प्रतिक्रियाशील उपचार की आवश्यकता कम हो जाती है।

एक कंपनी को यह सुनिश्चित करना चाहिए कि अनुपालन कारणों से, कुछ डेटा और प्रसंस्करण केवल EU क्षेत्रों में ही हो सकते हैं।

→`gcp.resourceLocations` Organization Policy बाधा लागू करें, केवल निर्दिष्ट EU क्षेत्रों की अनुमति दें।

क्यों: यह एक तकनीकी, निवारक नियंत्रण है जो संसाधन निर्माण स्तर पर डेटा निवास को लागू करता है, जो GDPR जैसे नियमों के लिए आवश्यक है।

एक वित्तीय संस्थान को यह आवश्यकता है कि Google समर्थन इंजीनियरों को समर्थन मामले के लिए अपने डेटा तक पहुंचने से पहले स्पष्ट, समय-बद्ध अनुमोदन प्राप्त करना होगा।

→Access Approval सक्षम करें और अनुमोदकों को कॉन्फ़िगर करें। Google से सभी एक्सेस अनुरोध एक अनुरोध उत्पन्न करेंगे जिसे अनुमोदित किया जाना चाहिए।

क्यों: Google प्रशासनिक पहुंच पर ग्राहक-गेटेड नियंत्रण प्रदान करता है, जो अत्यधिक विनियमित उद्योगों के लिए एक प्रमुख आवश्यकता है।

एक ऑडिटर को यह सत्यापित करने की आवश्यकता है कि Google कर्मियों ने आपके वातावरण तक पहुंच प्रदान किए जाने पर वास्तव में कौन सी कार्रवाइयां कीं।

→Access Transparency लॉग सक्षम और समीक्षा करें। ये लॉग Google कर्मचारियों द्वारा की गई कार्रवाइयों का लगभग वास्तविक समय फ़ीड प्रदान करते हैं।

क्यों: Google प्रशासक कार्रवाइयों का एक अपरिवर्तनीय ऑडिट ट्रेल प्रदान करता है, जिससे दृश्यता मिलती है और अनुपालन आवश्यकताओं का समर्थन होता है।

GCP वातावरण को लगातार उन कॉन्फ़िगरेशनों के लिए मॉनिटर करें जो PCI DSS या HIPAA जैसे एक विशिष्ट अनुपालन मानक का उल्लंघन करते हैं।

→Security Command Center में Security Health Analytics का उपयोग करें, जिसमें डैशबोर्ड में प्रासंगिक अनुपालन मानक सक्षम है।

क्यों: उद्योग बेंचमार्क के खिलाफ अनुपालन जांच को स्वचालित करता है, निरंतर दृश्यता प्रदान करता है और किसी भी पता लगाए गए गलत कॉन्फ़िगरेशन के लिए निष्कर्ष उत्पन्न करता है।

एक ऑडिटर Google के SOC 2 Type II रिपोर्ट और PCI DSS अनुपालन के सत्यापन का अनुरोध करता है।

→Google Cloud कंसोल में Compliance Reports Manager का उपयोग ऑडिट रिपोर्ट और प्रमाणपत्रों तक पहुंचने और डाउनलोड करने के लिए करें।

क्यों: ग्राहकों को अपनी ऑडिट प्रक्रियाओं का समर्थन करने के लिए आवश्यक अनुपालन दस्तावेज़ प्राप्त करने के लिए एक स्व-सेवा पोर्टल प्रदान करता है।

एक अमेरिकी सरकारी एजेंसी को एक वर्कलोड तैनात करने की आवश्यकता है जो FedRAMP High अनुपालन आवश्यकताओं को पूरा करता है।

→FedRAMP High अनुपालन शासन के लिए कॉन्फ़िगर किए गए Assured Workloads वातावरण के भीतर एप्लिकेशन तैनात करें।

क्यों: Assured Workloads स्वचालित रूप से विशिष्ट अनुपालन मानकों को पूरा करने में मदद करने के लिए आवश्यक नियंत्रण और गार्डरेल (जैसे, डेटा स्थान, कर्मियों की पहुंच प्रतिबंध) लागू करता है।