Bigbadlonewolf/GCP-HARDENED-LANDING-ZONE
GitHub: Bigbadlonewolf/GCP-HARDENED-LANDING-ZONE
面向金融级工作负载的 GCP 加固登录区 Terraform 模块,通过四层零信任架构实现合规默认安全基线。
Stars: 0 | Forks: 0
# GCP 加固登录区
一个专为 GCP 金融工作负载生产部署的安全基线 —
端到端使用 Terraform 进行配置,通过 OPA 策略门禁进行强制执行,
并映射到 PCI DSS v4.0、NIST 800-53 和 SOC 2 控制项。
这不是一个概念验证。它是实际运行的。下表中的每一项控制
都在项目 `mythical-cider-496423-h6` 中处于活动状态。
## 它解决的问题
大多数 GCP 部署一开始权限都很宽松,只能被动地进行加固。金融
机构无法承担这种姿态。当新团队配置
工作区时,他们需要在首次部署工作负载之前(而不是在
首次审计发现问题之后),就落实加密、审计日志、网络隔离和
策略强制执行。
此登录区实现了“默认安全”:这是一个可复用的 Terraform
模块,只需一次调用即可为新团队提供加固的基线,
无需将任何安全假设留给个人工程师。
## 安全控制项
| 控制项 | 机制 | 合规性映射 |
|---|---|---|
| 静态加密 | Cloud KMS CMEK,90天密钥轮换 | PCI DSS 6.3.5 · NIST SC-28 |
| 审计日志 | Log sinks → GCS(保留7年)+ BigQuery | PCI DSS 10.2.1 · NIST AU-2 |
| 无原始角色 | 授予任何 `roles/owner` 时触发 Monitoring 告警 | PCI DSS 7.2.5 · NIST AC-6 |
| 无公开成员 | 出现 `allUsers` / `allAuthenticatedUsers` 时触发 Monitoring 告警 | PCI DSS 7.2.6 · SOC 2 CC6.1 |
| 网络隔离 | Deny-all VPC,私有子网,仅限 IAP 的 SSH | PCI DSS 1.3.2 · NIST AC-17 |
| 策略强制执行 | Cloud Build CI 中的 OPA/Conftest 门禁 — 如果违反策略,plan 将失败 | PCI DSS 6.5.3 · SOC 2 CC8.1 |
| 最小权限 | 专用的各工作负载服务账号 | NIST AC-6 · SOC 2 CC6.3 |
OPA 策略与
[COMPLIANCE_AS_CODE](https://github.com/Bigbadlonewolf/COMPLIANCE_AS_CODE)
仓库共享,该仓库在 PCI DSS、SOC 2 和
NIST 策略集中运行了 50 个通过的单元测试。
## 架构
该区域分为四个有序的层进行部署。每一层都有自己独立的 Terraform
根目录和隔离的 GCS backend prefix。
标签:DevSecOps, ECS, GCP, Terraform, 上游代理, 合规基线, 零信任架构