|
Olá, veterinária,
Esta mensagem é para informar sobre as práticas recomendadas de segurança ao gerenciar as chaves de API e das contas de serviço no seu ambiente do Google Cloud.
As recentes tendências na área de segurança indicam que as credenciais de longa duração sem as práticas recomendadas adequadas continuam sendo um dos principais riscos de acesso não autorizado. Para manter a segurança no seu ambiente e modernizar sua estratégia de autenticação, recomendamos implementar o framework unificado de segurança descrito abaixo.
O que é preciso fazer
Ação recomendada:
Proteja o ciclo de vida das credenciais: aplique o nível de segurança padrão seguindo estas práticas recomendadas:
- Use um armazenamento sem código: nunca faça commit de chaves no código-fonte ou no controle de versões. Para injetar credenciais no ambiente de execução, use o Secret Manager.
- Desabilite chaves inativas: audite suas chaves ativas e desative as que não mostraram atividade nos últimos 30 dias.
- Aplique restrições de API: nunca deixe uma chave de API sem restrições. Limite as chaves a APIs específicas (por exemplo, apenas JavaScript do Maps) e aplique restrições ambientais (endereços IP, referenciadores HTTP ou IDs de pacote).
- Aplique o princípio de privilégio mínimo: nunca conceda permissões totais a uma conta de serviço. Use o recomendador do IAM para remover permissões não usadas de contas de serviço e defina apenas o acesso mínimo absolutamente necessário para a função delas.
- Aplique a rotação obrigatória: implemente a política
iam.serviceAccountKeyExpiryHours para que todas as chaves de contas de serviço gerenciadas pelos usuários tenham um ciclo de vida máximo. Se essas chaves não forem necessárias, implemente iam.managed.disableServiceAccountKeyCreation para desativar a criação de novas chaves.
Aprimore as proteções operacionais: garanta uma resposta rápida a incidentes de segurança fazendo o seguinte:
- Defina os Contatos Essenciais: verifique se os Contatos Essenciais estão atualizados para que as notificações críticas cheguem às pessoas certas durante um incidente.
- Defina alertas de orçamento e de anomalias no faturamento: verifique se as notificações das anomalias de faturamento e alertas de orçamento estão sendo processadas. Um aumento repentino no consumo costuma ser o primeiro indicador de uma credencial comprometida.
Estamos aqui para ajudar
Temos o compromisso de ajudar você a manter um ambiente seguro. Se tiver dúvidas ou precisar de ajuda, entre em contato com o suporte do Google Cloud.
Agradecemos por escolher o Google Cloud.
|
