การซื้อบัญชี Google Cloud: GCP การเชื่อมต่อที่ปลอดภัยแบบไม่ใช้คีย์ตัวอย่าง GCE คู่มือสถาปัตยกรรมฉบับสมบูรณ์!!

เมฆ 2026-06-23 阅读 34
cloud

ในสถาปัตยกรรมการรักษาความปลอดภัยระดับองค์กรที่นำโดยคลาวด์คอมพิวติ้งการควบคุมสิทธิ์การเข้าถึงเซิร์ฟเวอร์ (IAM) จะเป็นแกนหลักของทีมปฏิบัติการและบำรุงรักษาเสมอ

ในฐานะสถาปนิกระบบคลาวด์คอมพิวติ้งที่เสียชีวิตด้วยสถาปัตยกรรมการทำงานพร้อมกันสูงบนคลาวด์ต่างๆเป็นเวลาหลายปีเขายังเป็นบล็อกเกอร์ผู้ดูแลเว็บไซต์ SEO ที่มุ่งเน้นไปที่การแปลงปริมาณการใช้งานน้ำหนักสถานีอิสระและการตรวจสอบความปลอดภัยทุกวันฉันมักจะเห็นมันในชุมชนเทคนิคผู้ดูแลเว็บหรือทีมสตาร์ทอัพจำนวนมากต้องเผชิญกับปัญหาด้านความปลอดภัยดังกล่าว:

"เพื่อจัดการเครื่องเสมือน Compute Engine(GCE) ที่ใช้งานบน Google Cloud (GCP) เราได้เปิดพอร์ต22พอร์ตบนไฟร์วอลล์และแจกจ่ายคีย์ส่วนตัว SSH ให้กับนักพัฒนาหลายคนด้วยเหตุนี้จึงไม่เพียงแต่พบการโจมตีที่รุนแรงอย่างไม่มีที่สิ้นสุดแต่ยังมีความเสี่ยงอย่างมากต่อการรั่วไหลของซอร์สโค้ดเว็บไซต์หลักและฐานข้อมูลเนื่องจากการลาออกของพนักงานการสูญเสียคีย์หรือการจัดการที่ไม่เหมาะสม"

รูปแบบการจัดการแบบ "Key 22 Port Open" แบบดั้งเดิมได้ถูกทิ้งไว้อย่างสิ้นเชิงในปี2026เมื่อ Zero Trust ให้ความสำคัญอย่างยิ่งกับการตรวจสอบความปลอดภัยที่ละเอียดอ่อน

เพื่อแก้ปัญหานี้ Google Cloud ได้จัดเตรียมชุดที่หรูหราและปลอดภัยอย่างยิ่ง

โซลูชันการเชื่อมต่อแบบไม่ใช้คีย์พอร์ตเป็นศูนย์

-- อาศัย

IAP(Identity-Aware Proxy, ตัวแทนระบุตัวตน)

กับ

OS Login (เข้าสู่ระบบระบบปฏิบัติการ)

เทคโนโลยีในบทความนี้ฉันจะเริ่มต้นจากการเลือกระดับล่างสุดของสถาปนิกการดำเนินการและการบำรุงรักษาโดยไม่มีความไว้วางใจของผู้ดูแลเว็บและวิธีการรวมเข้าด้วยกัน

การซื้อบัญชี Google Cloud

กลยุทธ์ทางการเงินที่สอดคล้องและมิติอื่นๆของบริษัทจะนำเสนอคู่มือเชิงปฏิบัติในเชิงลึกที่มีนัยสำคัญของสภาพแวดล้อมการผลิต

1.ฐานหลัก: ถอดชิ้นส่วน "เทคโนโลยีสีดำ" ของ GCP ไม่มีการเชื่อมต่อที่สำคัญ

หากคุณต้องการลงชื่อเข้าใช้อินสแตนซ์ GCE อย่างปลอดภัยโดยไม่ต้องสร้างคู่คีย์ SSH แบบเดิมและไม่เปิดพอร์ตเครือข่ายภายนอก22บนไฟร์วอลล์พื้นฐานของ Google Cloud ส่วนใหญ่อาศัยการเชื่อมต่อที่สมบูรณ์แบบของส่วนประกอบเทคโนโลยีสีดำหลักสองตัว:

1.ส่วนประกอบหนึ่ง: OS Login (เข้าสู่ระบบระบบปฏิบัติการ)

การจัดการอินสแตนซ์ Linux แบบดั้งเดิมผ่านเซิร์ฟเวอร์

~ /.Ssh/authorized_keys

คีย์สาธารณะที่เข้ารหัสอย่างหนักในไฟล์ในขณะที่

OS Login

เปลี่ยนสถานการณ์นี้โดยสิ้นเชิง

เชื่อมโยงบัญชี Linux ท้องถิ่นของคุณโดยตรงกับองค์กร Google Cloud และข้อมูลประจำตัว IAM (Google Account) ของคุณ

วงจรชีวิตของผู้ใช้ถูกควบคุมโดย IAM อย่างสมบูรณ์เมื่อพนักงานลาออกคุณจะต้องถอนสิทธิ์ใน IAM ของเขาเท่านั้นและเขาจะสูญเสียคุณสมบัติการเข้าสู่ระบบของอินสแตนซ์ GCE ทั้งหมดในเครือข่ายทั้งหมดทันทีโดยไม่ต้องยุ่งยากในการลบบัญชีท้องถิ่นหรือออกจากระบบคีย์ในแต่ละเซิร์ฟเวอร์

2.ส่วนประกอบสอง: Identity-Aware Proxy(IAP, Identity Proxy)

นี่คือ "สุดยอดกระสุนเงิน" ที่ทำให้ไฟร์วอลล์เป็นศูนย์โดยปกติการเข้าสู่ระบบเครื่องป้อมหรือเซิร์ฟเวอร์ที่จำเป็น

ตัวอย่างที่มี IP สาธารณะหรือผ่านอุโมงค์ VPN 。

IAP Tunneling (IAP Tunneling) ช่วยให้ผู้ใช้ที่มีคุณสมบัติตรงตามเงื่อนไข IAM สามารถบรรจุการรับส่งข้อมูล SSH ในเครื่องลงในอุโมงค์ HTTPS (ใช้พอร์ต443) ผ่านเครือข่ายขอบของ Google Cloud และส่ง IP อินทราเน็ตภายในของเครื่องเสมือนได้โดยตรงและปลอดภัย

ซึ่งหมายความว่าแม้ว่าอินสแตนซ์ GCE ของคุณจะไม่ผูกมัดกับ IP เครือข่ายสาธารณะเลยและไฟร์วอลล์จะปิดพอร์ต22ไปยังเครือข่ายสาธารณะภายนอกโดยสิ้นเชิงคุณก็ยังสามารถเชื่อมต่อได้ทุกที่ในโลกในไม่กี่วินาที

2.การฝึกซ้อมการต่อสู้จริง: สี่ขั้นตอนในการรับ GCE การเชื่อมต่อที่ปลอดภัยโดยไม่ต้องใช้คีย์และพอร์ตเป็นศูนย์

ตอนนี้เราเข้าสู่ลิงค์การปฏิบัติของสถาปนิกกระบวนการกำหนดค่าทั้งหมดสามารถแบ่งออกเป็นสี่ขั้นตอนที่เป็นระเบียบมาก:

1.เปิดคุณสมบัติทั่วโลกของ OS Login: เปิดใช้งานส่วนประกอบหลักในข้อมูลเมตาของอินสแตนซ์

เข้าสู่คอนโซลของคุณและเข้าสู่หน้า Compute Engine 。เมื่อสร้างอินสแตนซ์หรือแก้ไขอินสแตนซ์ที่มีอยู่ให้เพิ่มคู่คีย์ใน "Metadata":

Enable-oslogin = TRUE

。สำหรับสถาปัตยกรรมระดับองค์กรขอแนะนำให้เปิดโดยตรงในข้อมูลเมตาระดับโปรเจ็กต์เพื่อให้เครื่องเสมือนทั้งหมดในเครือข่ายทั้งหมดสามารถสืบทอดคุณสมบัติด้านความปลอดภัยนี้ได้โดยค่าเริ่มต้น

2.กำหนดค่าไฟร์วอลล์กฎการเข้าถึงที่เชื่อถือได้เป็นศูนย์: เฉพาะส่วนเครือข่าย IAP ภายใน Google Cloud เท่านั้นที่สามารถเข้าถึงได้

ไปที่เครือข่าย VPC-> หน้าไฟร์วอลล์และสร้างกฎการเข้า

จำกัดช่วงที่อยู่ IP ต้นทางอย่างเคร่งครัดเป็น35.235.240.0/20 (นี่คือส่วนเครือข่ายทั่วโลกเฉพาะสำหรับบริการ Google Cloud IAP)

, โปรโตคอลและการเลือกพอร์ต

Tcp: 22

。แท็บเป้าหมายเลือกอินสแตนซ์ GCE ของคุณคู่เดิม

0.0.0.0/0

กฎไฟร์วอลล์22พอร์ตแบบเปิดสามารถลบได้โดยตรง

3.กำหนดค่าบทบาทการเข้าถึงสิทธิพิเศษขั้นต่ำของ IAM: การเพิ่มขีดความสามารถที่แม่นยำสำหรับทีมปฏิบัติการและบำรุงรักษา/การพัฒนา

ในหน้า IAM คุณต้องกำหนดบทบาทหลักสองอย่างให้กับผู้ใช้หรือบัญชีบริการที่ต้องการล็อกอินเข้าสู่เซิร์ฟเวอร์:

IAP Secured Tunnel User (roles/iap.tunnelResources Accessor): ให้สิทธิ์ในการสร้างการเชื่อมต่อผ่านอุโมงค์ IAP

Compute OS Admin Login (roles/compute.osAdminLogin)(หรือเข้าสู่ระบบโดยผู้ใช้ทั่วไป): ให้สิทธิ์ในการทำแผนที่บัญชีผู้ดูแลระบบ Linux ท้องถิ่นผ่าน OS Login

4.เริ่มต้นการเชื่อมต่อแบบไม่ใช้คีย์ภายในเครื่อง: ใช้เครื่องมือ gcloud เพื่อเชื่อมต่ออินทราเน็ตโดยตรงด้วยปุ่มเดียว

ในเทอร์มินัลท้องถิ่นนักพัฒนาไม่จำเป็นต้องพกพาใดๆ

.Pem

หรือ

.Ppk

ไฟล์คีย์เพียงแค่เรียกใช้เครื่องมือบรรทัดคำสั่ง gcloud ที่ได้รับการพิสูจน์ตัวตน:

Bash

Gcloud

Compute ssh [INSTANCE_NAME] -- tunnel-through-iap -- zone =[ZONE]

ระบบจะดำเนินการตรวจสอบตัวตนในพื้นหลังโดยอัตโนมัติสร้างโทเค็นชั่วคราวแบบไดนามิกสร้างอุโมงค์ IAP และช่วยให้คุณเข้าสู่ระบบได้อย่างปลอดภัยทันที

3.จากสถาปัตยกรรมไปจนถึงการปฏิบัติตาม: เกี่ยวกับ "การซื้อบัญชี Google Cloud" และการป้องกันทรัพย์สินดิจิทัลขององค์กร

เมื่อเราย้ายสภาพแวดล้อมการผลิตฐานข้อมูลหลักและบริการ API ของบริษัทไปยังสถาปัตยกรรม GCP Zero Trust คุณสมบัติด้านความปลอดภัยทั้งหมดจะขึ้นอยู่กับคุณ

บัญชีคลาวด์พื้นฐานปลอดภัยและเป็นไปตามข้อกำหนดหรือไม่

ด้านบน. สำหรับบริษัทที่ติดตามโครงสร้างทางเทคนิคที่มั่นคงฉันจะให้กฎทางการเงินและการปฏิบัติตามข้อกำหนดทางทหารที่เข้มงวดสองข้อต่อไปนี้:

1.กำหนดมาตรฐานการซื้อบัญชี Google Cloud และการรับรองคุณสมบัติขององค์กร

เนื่องจาก IAP และ OS Login พึ่งพาระบบบัญชีของ Google และ Workspace เป็นอย่างมากในช่วงเตรียมการโครงการจึงจำเป็นต้องกรอกบัญชีหลักและบัญชีหลายองค์กรขององค์กรผ่านช่องทางการที่เป็นทางการและเป็นไปตามข้อกำหนด

การซื้อบัญชีกูเกิลคลาวด์

พร้อมการยืนยันตัวตนด้วยชื่อจริง

ความปลอดภัยและการหลีกเลี่ยงหลุม: ตลาดเต็มไปด้วย "หมายเลขบัตรสีดำที่ไม่มีชื่อจริง" หรือ "บัญชีการแคร็กส่วนบุคคลสามฝ่าย" ราคาถูกจำนวนมากผู้ดูแลเว็บหลายคนต้องการซื้อบัญชี Google Cloud ผ่านช่องทางที่ไม่เป็นทางการในราคาถูกเมื่อบัญชีดังกล่าวถูกบล็อกอย่างถาวรโดยเจ้าหน้าที่ของ Google เนื่องจากการควบคุมความเสี่ยงที่ทริกเกอร์คุณจะปรับใช้อินสแตนซ์ GCE หลักข้างต้นชื่อโดเมนของเจ้าของธุรกิจที่ผูกไว้และแม้แต่ข้อมูลสำรองแบบเย็นเผชิญกับหายนะที่ไม่สามารถเรียกคืนได้

2.การแยกการป้องกันภายใต้สถาปัตยกรรมหลายบัญชี (Landing Zone)

ในเมทริกซ์ของผู้ดูแลเว็บขนาดใหญ่และขนาดกลางที่ไปต่างประเทศขอแนะนำให้ใช้บัญชีเจ้าของธุรกิจที่ซื้ออย่างเป็นทางการ

Google Cloud Organizations

แบ่งออกเป็นรายการที่แตกต่างกัน:

Project-Production

(สภาพแวดล้อมการผลิต),

Project-Testing

(สภาพแวดล้อมการทดสอบ)

ด้วยการแยกสิทธิ์ IAP และนโยบายไฟร์วอลล์ระหว่างโครงการต่างๆแม้ว่าบัญชี Google ส่วนตัวของนักพัฒนาจะประสบกับการขโมยแบบฟิชชิ่งแต่แฮกเกอร์สามารถเข้าถึงเครื่องทดสอบขอบที่ได้รับอนุญาตจาก IAM เท่านั้นและไม่สามารถเจาะเข้าไปในเซิร์ฟเวอร์การผลิตหลักข้ามโครงการได้

4.การพูดคุยส่วนตัวของผู้ดูแลเว็บที่มีความเชี่ยวชาญด้าน SEO: การป้องกันที่มองไม่เห็นของสถาปัตยกรรมการรักษาความปลอดภัยแบบไม่ใช้คีย์ต่อการรับส่งข้อมูลไซต์อิสระ

ในฐานะบล็อกเกอร์ไซต์ที่มีความเชี่ยวชาญในการสร้างรายได้จากการเข้าชม SEO คุณอาจถามว่า:

"การเชื่อมต่อแบบไม่ใช้คีย์และการกำหนดค่าความปลอดภัยเกี่ยวข้องกับการจัดอันดับคำหลักของเว็บไซต์ของฉันและการรวมเครื่องมือค้นหาอย่างไร"

ความสัมพันธ์ไม่เพียงแต่ใหญ่โตแต่ยังเด็ดขาด

ในอัลกอริทึม SEO ที่ทันสมัยความปลอดภัยของเว็บไซต์ (Security Signals) เป็นตัวบ่งชี้ที่สำคัญสำหรับเครื่องมือค้นหาในการประเมินความน่าเชื่อถือของเว็บไซต์ (Trustworthiness):

กำจัดการลดระดับการทำลายล้างของ SEO ที่เกิดจาก "แฮกเกอร์ดัดแปลงและแขวนม้า": เทอร์มินัล SSH 22แบบดั้งเดิม

เมื่อปากถูกเปิดเผยบ็อตเน็ตทั่วโลกจะแตกอย่างรุนแรงอย่างต่อเนื่องเมื่อแฮกเกอร์เจาะเซิร์ฟเวอร์ของคุณผ่านรหัสผ่านที่อ่อนแอหรือคีย์ส่วนตัวที่หายไปและฉีด Spam Links จำนวนมากลงในพื้นหลังของระบบ WordPress หรืออีคอมเมิร์ซของคุณระบบตรวจจับมัลแวร์ของ Google จะทำเครื่องหมายเว็บไซต์ของคุณในไม่กี่วินาทีเป็น "เว็บไซต์ที่ไม่ปลอดภัย" และให้คำเตือนใบแดงในผลการค้นหา. การแขวนม้าเพียงไม่กี่วันสามารถล้างการจัดอันดับคำหลักหลักที่คุณทำงานอย่างหนักมาหลายปีได้ทันทีการใช้พอร์ตการเปิดรับแสงเป็นศูนย์ IAP จะตัดหนวดที่แฮ็กเกอร์สแกนโดยตรงจากแหล่งที่มา

หลีกเลี่ยงการใช้งานผิดพลาดของการดำเนินการและการบำรุงรักษาและทำให้เว็บไซต์ไม่สามารถใช้งานได้ (Downtime): การจัดการคีย์แบบเดิมนั้นวุ่นวายมากและมักเกิดเหตุการณ์ที่น่าอับอายที่สถาปนิกถูกล็อกออกจากเซิร์ฟเวอร์เนื่องจากการลบผู้ใช้โดยไม่ได้ตั้งใจและการเปลี่ยนไฟล์คอนฟิกูเรชัน sshd_config โดยไม่ได้ตั้งใจและถูกบังคับให้รีสตาร์ทเซิร์ฟเวอร์และแม้แต่ติดตั้งระบบใหม่การไม่ใช้เซิร์ฟเวอร์บ่อยครั้งจะทำให้สไปเดอร์ของเครื่องมือค้นหาล้มเหลวในการรวบรวมข้อมูลและลดงบประมาณการรวบรวมข้อมูลของคุณ (Crawl Budget) ผ่านการครอบครองระบบคลาวด์ที่ไร้รอยต่อของ OS Login การกำหนดค่าจะไม่ผิดพลาดและรับประกันอัตราออนไลน์ที่มั่นคงของเว็บไซต์ $100 \ % $

5.สรุปและรายชื่อความปลอดภัยของหัวหน้าสถาปนิก

วันนี้เมื่อ Zero Trust Architecture (Zero Trust Architecture) กลายเป็นมาตรฐานอุตสาหกรรมการทิ้งคีย์ไว้ในเครื่องและการวางพอร์ต22พอร์ตบนเครือข่ายสาธารณะก็เท่ากับการ "วิ่งเปล่า" ในโลกดิจิทัลโซลูชัน IAP OS Login ของ GCP ใช้ต้นทุนการกำหนดค่าที่ต่ำมากเพื่อสร้างแนวป้องกันการเข้าถึงระดับฮาร์ดแวร์สำหรับองค์กร

สุดท้ายจัดทำรายการยืนยันขั้นสุดท้ายสำหรับช่างเทคนิคที่กำลังเตรียมอัปเกรดสถาปัตยกรรม:

การยืนยันการกำหนดค่า: ข้อมูลเมตา enable-oslogin = TRUE มีผลหรือไม่

สินค้าคงคลังไฟร์วอลล์: กฎ22พอร์ตสำหรับ0.0.0.0/0ถูกลบทั้งหมดหรือไม่และช่วงการเข้าถึงถูกจำกัดไว้ที่35.235.240.0/20อย่างเคร่งครัด

การตรวจสอบการปฏิบัติตามข้อกำหนดของบัญชี: บัญชีของเจ้าของธุรกิจได้รับผ่านช่องทางการซื้อบัญชี Google Cloud ที่เป็นทางการและเป็นไปตามข้อกำหนดหรือไม่และพนักงานทุกคนบังคับให้เปิด MFA (การตรวจสอบความถูกต้องหลายปัจจัย) หรือไม่

ให้เทคโนโลยีกลับมาใช้งานได้จริงและรักษาความปลอดภัยไม่ใช่พิธีการใช้สถาปัตยกรรมการรักษาความปลอดภัยเนทีฟบนคลาวด์ที่มีความละเอียดสูงเพื่อปกป้องทุกจุดของการรับส่งข้อมูลและการเติบโตในระยะยาวของไซต์อิสระของคุณ!

cloud
← 返回新闻中心