Проверка соответствия Google Cloud (лучшие практики)

Question

Я искал несколько проверок, чтобы убедиться, что облако Google нашей компании настроено правильно. Ниже приведены несколько случаев, которые я хочу проверить через некоторые API программно. Я хотел бы знать, какие API можно использовать для достижения этой цели.

1. Необходимо проверить, включен ли облачный аудит SQL.
2. Как и в разделе «Сеть», опять же, вы не должны разрешать доступ к вашим базам данных из глобальной сети Интернет. Не разрешайте 0.0.0.0 или / 0 при создании авторизованных сетей для ваших баз данных. Точно так же MySQL не должен позволять пользователям root подключаться с 0.0.0.0.
3. Используйте журналы облачного аудита для регулярного аудита изменений в вашей политике IAM.
4. Убедитесь, что ведение журнала потока VPC включено во всех VPC.
5. Убедитесь, что никакая группа безопасности не позволяет входить с 0.0.0.0/0 на порт 22.
6. Получить список служб, для которых включены журналы доступа к данным.

Кроме того, было бы замечательно, если бы был хорошо известный список мер безопасности для Gcloud, таких как CIS (доступен для AWS и Azure).

Answer 1

Вы можете использовать Ведение журнала облачного аудита для проверки активности администратора, системных событий и доступа к данным любого компонента GCP.

Что касается особенностей конфигурации, вы можете проверить, может ли API компонента быть полезным. e.g.:

• Сеть: API уровней сетевых служб
• Облачный SQL: Облачный SQL Admin API

Протестируйте с помощью API Explorer , чтобы увидеть все методы в действии.