Bigbadlonewolf/GCP-HARDENED-LANDING-ZONE

GitHub: Bigbadlonewolf/GCP-HARDENED-LANDING-ZONE

面向金融级工作负载的 GCP 加固登录区 Terraform 模块,通过四层零信任架构实现合规默认安全基线。

Stars: 0 | Forks: 0

# GCP 加固登录区 一个专为 GCP 金融工作负载生产部署的安全基线 — 端到端使用 Terraform 进行配置,通过 OPA 策略门禁进行强制执行, 并映射到 PCI DSS v4.0、NIST 800-53 和 SOC 2 控制项。 这不是一个概念验证。它是实际运行的。下表中的每一项控制 都在项目 `mythical-cider-496423-h6` 中处于活动状态。 ## 它解决的问题 大多数 GCP 部署一开始权限都很宽松,只能被动地进行加固。金融 机构无法承担这种姿态。当新团队配置 工作区时,他们需要在首次部署工作负载之前(而不是在 首次审计发现问题之后),就落实加密、审计日志、网络隔离和 策略强制执行。 此登录区实现了“默认安全”:这是一个可复用的 Terraform 模块,只需一次调用即可为新团队提供加固的基线, 无需将任何安全假设留给个人工程师。 ## 安全控制项 | 控制项 | 机制 | 合规性映射 | |---|---|---| | 静态加密 | Cloud KMS CMEK,90天密钥轮换 | PCI DSS 6.3.5 · NIST SC-28 | | 审计日志 | Log sinks → GCS(保留7年)+ BigQuery | PCI DSS 10.2.1 · NIST AU-2 | | 无原始角色 | 授予任何 `roles/owner` 时触发 Monitoring 告警 | PCI DSS 7.2.5 · NIST AC-6 | | 无公开成员 | 出现 `allUsers` / `allAuthenticatedUsers` 时触发 Monitoring 告警 | PCI DSS 7.2.6 · SOC 2 CC6.1 | | 网络隔离 | Deny-all VPC,私有子网,仅限 IAP 的 SSH | PCI DSS 1.3.2 · NIST AC-17 | | 策略强制执行 | Cloud Build CI 中的 OPA/Conftest 门禁 — 如果违反策略,plan 将失败 | PCI DSS 6.5.3 · SOC 2 CC8.1 | | 最小权限 | 专用的各工作负载服务账号 | NIST AC-6 · SOC 2 CC6.3 | OPA 策略与 [COMPLIANCE_AS_CODE](https://github.com/Bigbadlonewolf/COMPLIANCE_AS_CODE) 仓库共享,该仓库在 PCI DSS、SOC 2 和 NIST 策略集中运行了 50 个通过的单元测试。 ## 架构 该区域分为四个有序的层进行部署。每一层都有自己独立的 Terraform 根目录和隔离的 GCS backend prefix。
标签:DevSecOps, ECS, GCP, Terraform, 上游代理, 合规基线, 零信任架构