Google Cloud 的 Organization Policy Service 能幫助你控制資源配置,並在雲端環境中建立護欄。透過自定義組織原則這個新的強大的擴充功能,我們現在可以創建細緻的資源原則,幫助我們達成雲端治理的要求。這項新的功能,現在已經一般可用 (GA),還附帶 dry run 模式,讓你能安全地推出新的原則,而不會影響你的生產環境。
Org Policy Service 可以幫助你建立安全護欄。這些護欄只允許在你的雲端組織中配置符合規定的資源。透過 Org Policy Service,
- 你可以從基於行業最佳實踐的超過 100 種預定義政策中選擇。
- 自定義組織政策增添了創建和管理你自己的安全和符合規定的政策的能力,這些政策可以適應並滿足你的組織的商業需求和政策的改變。
How do Custom Org Policies work?
自定義組織政策是可以根據需要在任何層級(例如,組織、文件夾或專案)整個環境中應用的可自定義的資源配置安全護欄。安全管理員 (Security Admin) 可以透過控制台、命令行界面或 API,在僅僅幾分鐘內,迅速定制特定使用情況的自定義限制。
自定義組織政策使用直觀的 Common Expression Language (CEL) 來指定必須滿足的條件,以允許資源創建或更改設定,使得你可以簡單的提升你的安全姿態並強制執行環境所需的重要政策。
What are the key benefits of Custom Org Policies?
自定義組織政策可以讓組織集中控制,並幫助安全管理員為他們的雲環境設定護欄。這些護欄允許開發人員在管理員定義的邊界中建立應用程式。自定義組織政策可以幫助你獲得對所有雲資源的可見性並實施政策,使你更方便地管理和提升你的安全姿態。
自定義組織政策也可以根據你的法規環境,幫助你滿足合規性要求。你可以制定自定義政策,這些政策可以幫助你滿足如 HIPAA、PCI-DSS 和 GDPR 等法規義務,以及你自己組織的合規性標準。自定義組織政策可以根據你組織不斷演進的安全需求,幫助創建和管理政策,並幫助你降低風險。你可以引入主動的安全和合規性措施,減少事件的風險並提高運營效率。
“忠於我們保護 Snap 生產環境基礎設施的使命,我們不斷演進並尋找新的機會建立訪問和政策護欄。我們對自定義組織政策達到一般可用 (GA) 的狀態感到興奮,因為我們打算採用這款產品,幫助我們強制執行,包括與 CIS 基準相關的 GKE 限制等其他事項” Snap 的生產安全經理 Babak Bahamin 如是說。
以下是一些使用案例和自定義組織政策效益的詳細介紹:
使用案例 1:使用 custom org policies 完成 GKE 自動化更新
為確保你的 GKE 集群中所有節點都有最新的安全修復,並減少手動更新節點的負擔,你可以規定你的組織中的所有節點池 (node pool) 都開啟自動更新。你可以利用自定義限制輕鬆設定自定義組織政策,該限制允許你基於某些參數進行資源配置。
在這種情況下,管理員可以設定一個自定義限制,條件像是 resource.management.autoUpgrade == true,並根據需求,在你的資源層次結構(組織、資料夾、專案)中執行它。只有啟用autoUpgrade 的 nodepools 創建和更新操作才會被允許,確保符合該規定。自定義組織政策不具有追溯性,因此這些政策不適用於現有的資源。這可以幫助確保你在生產環境中的現有工作流程不會被打亂。
使用案例 2:管理 VM 的運作
為了限制你的專案中特定虛擬機器的使用,無論是出於成本或合規性的考慮,都可以部署自定義組織政策,該政策規定只允許創建特定類型的 VM。例如,要限制所有創建的 VM 只能使用 N2D 機器類型,你可以將條件設定為:resource.machineType.contains(‘/machineTypes/n2d’)。這個政策可以集中強制執行,並且可以對已批准的使用案例授予例外,讓你能夠仔細管理雲端環境的預算、成本和支出。
除了這裡強調的使用案例以外,你還可以強制實行許多其他的安全控制,如限制 VM 僅使用強化的映像、阻擋不良的網路路由,或限制資源創建的允許地區。
如何在企業環境安全的部署 Custom Org Policies safely
在引入自定義組織政策的變更時,中斷時間的最小化是很重要的。因此我們很高興也宣布自定義組織政策的 Dry run模式已普遍可用。Dry run 模式允許你以僅審計模式 (audit mode) 部署自定義組織政策,並比較新的資源動作的 Live mode 與 Dry run mode 的結果,而不會讓生產環境的工作負載處於風險之中。
Dry run 模式可以幫助你在強制實施變更前,快速了解政策變更將如何影響你的工作負載。我們推出的另一個安全策略元件是 Policy Simulator,目前處於預覽狀態。使用 Policy Simulation,你可以預覽存在的資源在強制執行新的自定義組織政策時會違反哪些條款。你現在可以獲得自定義組織政策與你的資源符合規定的快照視圖。
這些工具加在一起,可以讓你更全面地理解部署新的自定義組織政策的影響,並在強制實施政策之前提供調整的機會。一旦你確認政策運作如預期,將其轉為即時政策就跟翻轉開關一樣簡單。
請查看我們的入門指南,學習如何定義、部署和管理你的自定義政策。你可以觀看我們在 Google Cloud Next ’23 展示的自定義組織政策的預覽演示。無論你是一名安全架構師、合規性主管,或者開發人員,自定義組織政策都可以賦予你控制雲端資源的能力,並可以幫助建立一個更安全且符合規定的環境。
