Introducció
La seguretat és un aspecte crític en qualsevol entorn de computació al núvol. Google Cloud Platform (GCP) ofereix una àmplia gamma d'eines i serveis per ajudar a protegir les teves aplicacions i dades. En aquest tema, explorarem les millors pràctiques de seguretat que pots implementar per assegurar-te que la teva infraestructura a GCP sigui robusta i segura.
Conceptes clau
- Gestió d'identitat i accés (IAM)
- Xifratge de dades
- Seguretat de la xarxa
- Monitoratge i auditoria
- Gestió de vulnerabilitats
- Millors pràctiques de configuració
- Gestió d'identitat i accés (IAM)
Principis bàsics
- Principi del menor privilegi: Assigna als usuaris i serveis només els permisos estrictament necessaris per realitzar les seves tasques.
- Grups i rols: Utilitza grups i rols per gestionar permisos de manera eficient.
- Autenticació multifactor (MFA): Implementa MFA per a tots els comptes d'usuari per afegir una capa addicional de seguretat.
Exemple pràctic
# Exemple de configuració IAM per a un projecte GCP bindings: - members: - user:[email protected] role: roles/viewer - members: - group:[email protected] role: roles/editor - members: - serviceAccount:[email protected] role: roles/storage.admin
- Xifratge de dades
Principis bàsics
- Xifratge en repòs: Assegura't que totes les dades emmagatzemades estiguin xifrades.
- Xifratge en trànsit: Utilitza protocols segurs com TLS per xifrar les dades mentre es transmeten.
Exemple pràctic
# Comprovar que el xifratge en repòs està habilitat per a un bucket de Cloud Storage gsutil encryption get gs://my-bucket
- Seguretat de la xarxa
Principis bàsics
- VPC i subxarxes: Organitza la teva xarxa en VPCs i subxarxes per aïllar diferents components.
- Regles de tallafocs: Defineix regles de tallafocs per controlar el trànsit d'entrada i sortida.
- VPN i interconnexió: Utilitza VPNs i interconnexions segures per connectar la teva infraestructura local amb GCP.
Exemple pràctic
# Exemple de regla de tallafocs per permetre trànsit HTTP i HTTPS
- name: allow-http-https
allowed:
- IPProtocol: TCP
ports:
- "80"
- "443"
sourceRanges:
- "0.0.0.0/0"
direction: INGRESS
targetTags:
- web-server
- Monitoratge i auditoria
Principis bàsics
- Stackdriver Monitoring: Utilitza Stackdriver per monitoritzar la teva infraestructura i rebre alertes.
- Cloud Audit Logs: Activa els registres d'auditoria per tenir un historial complet de les accions realitzades a la teva infraestructura.
Exemple pràctic
# Activar els registres d'auditoria per a un projecte gcloud logging sinks create my-audit-logs \ storage.googleapis.com/my-audit-logs-bucket \ --log-filter='logName="projects/my-project/logs/cloudaudit.googleapis.com%2Factivity"'
- Gestió de vulnerabilitats
Principis bàsics
- Escaneig de vulnerabilitats: Utilitza eines com Google Cloud Security Scanner per identificar vulnerabilitats en les teves aplicacions.
- Parches i actualitzacions: Mantén tots els sistemes i aplicacions actualitzats amb els últims parches de seguretat.
Exemple pràctic
# Executar un escaneig de seguretat amb Google Cloud Security Scanner gcloud beta web-security-scanner scans create \ --display-name="My Scan" \ --starting-urls="https://my-website.com" \ --user-agent="CHROME_LINUX"
- Millors pràctiques de configuració
Principis bàsics
- Revisió de configuracions: Realitza revisions periòdiques de les configuracions de seguretat.
- Automatització: Utilitza eines d'automatització per aplicar configuracions de seguretat de manera consistent.
Exemple pràctic
# Exemple de configuració de Deployment Manager per aplicar configuracions de seguretat
resources:
- name: my-vm
type: compute.v1.instance
properties:
zone: us-central1-a
machineType: zones/us-central1-a/machineTypes/n1-standard-1
disks:
- deviceName: boot
type: PERSISTENT
boot: true
autoDelete: true
initializeParams:
sourceImage: projects/debian-cloud/global/images/family/debian-9
networkInterfaces:
- network: global/networks/default
accessConfigs:
- name: External NAT
type: ONE_TO_ONE_NAT
metadata:
items:
- key: enable-oslogin
value: "TRUE"Conclusió
Implementar les millors pràctiques de seguretat a Google Cloud Platform és essencial per protegir les teves aplicacions i dades. En aquest tema, hem explorat diverses àrees clau, incloent la gestió d'identitat i accés, el xifratge de dades, la seguretat de la xarxa, el monitoratge i l'auditoria, la gestió de vulnerabilitats i les millors pràctiques de configuració. Seguint aquestes recomanacions, podràs assegurar-te que la teva infraestructura a GCP sigui segura i robusta.
Exercicis pràctics
- Configura IAM per a un projecte GCP: Assigna rols específics a diferents usuaris i grups seguint el principi del menor privilegi.
- Implementa xifratge en repòs i en trànsit: Assegura't que totes les dades emmagatzemades i transmeses estiguin xifrades.
- Defineix regles de tallafocs: Crea regles de tallafocs per controlar el trànsit d'entrada i sortida a la teva xarxa VPC.
- Activa els registres d'auditoria: Configura Cloud Audit Logs per tenir un historial complet de les accions realitzades a la teva infraestructura.
- Executa un escaneig de seguretat: Utilitza Google Cloud Security Scanner per identificar vulnerabilitats en les teves aplicacions.
Solucions als exercicis
Exercici 1: Configura IAM per a un projecte GCP
bindings: - members: - user:[email protected] role: roles/viewer - members: - group:[email protected] role: roles/editor - members: - serviceAccount:[email protected] role: roles/storage.admin
Exercici 2: Implementa xifratge en repòs i en trànsit
# Comprovar que el xifratge en repòs està habilitat per a un bucket de Cloud Storage gsutil encryption get gs://my-bucket # Configurar TLS per a una aplicació web gcloud compute ssl-certificates create my-ssl-cert \ --certificate=my-cert.crt \ --private-key=my-key.key
Exercici 3: Defineix regles de tallafocs
- name: allow-http-https
allowed:
- IPProtocol: TCP
ports:
- "80"
- "443"
sourceRanges:
- "0.0.0.0/0"
direction: INGRESS
targetTags:
- web-serverExercici 4: Activa els registres d'auditoria
gcloud logging sinks create my-audit-logs \ storage.googleapis.com/my-audit-logs-bucket \ --log-filter='logName="projects/my-project/logs/cloudaudit.googleapis.com%2Factivity"'
Exercici 5: Executa un escaneig de seguretat
gcloud beta web-security-scanner scans create \ --display-name="My Scan" \ --starting-urls="https://my-website.com" \ --user-agent="CHROME_LINUX"
Amb aquestes pràctiques i exercicis, estaràs ben preparat per assegurar la teva infraestructura a Google Cloud Platform.
Curs de Google Cloud Platform (GCP)
Mòdul 1: Introducció a Google Cloud Platform
- Què és Google Cloud Platform?
- Configurar el teu compte de GCP
- Visió general de la consola de GCP
- Comprendre projectes i facturació
Mòdul 2: Serveis bàsics de GCP
Mòdul 3: Xarxes i seguretat
Mòdul 4: Dades i analítica
Mòdul 5: Aprenentatge automàtic i IA
Mòdul 6: DevOps i monitoratge
- Cloud Build
- Repositoris de codi font al núvol
- Funcions al núvol
- Monitoratge de Stackdriver
- Gestor de desplegament al núvol
Mòdul 7: Temes avançats de GCP
- Híbrid i multi-núvol amb Anthos
- Computació sense servidor amb Cloud Run
- Xarxes avançades
- Millors pràctiques de seguretat
- Gestió i optimització de costos