Ce document fournit des recommandations pour vous aider à maintenir un accès continu aux Google Cloud ressources. La continuité de l'activité vise à garantir que votre organisation peut maintenir ses opérations essentielles, même en cas de perturbations telles que des pannes ou des catastrophes. Cet objectif inclut le maintien de l'accès des employés lorsque les services et l'infrastructure critiques ne sont pas disponibles.
Ce document est destiné aux professionnels de la sécurité ou de la fiabilité qui sont responsables du Identity and Access Management (IAM) et du maintien d'un accès sécurisé à Google Cloud. Dans ce document, nous partons du principe que vous connaissez déjà Cloud Identity, Google Workspace et la gestion de l'IAM.
Pour vous aider à vous préparer aux pannes et à garantir un accès continu, ce document décrit les étapes recommandées suivantes que vous pouvez mettre en œuvre. Vous pouvez choisir d'effectuer toutes ces étapes ou seulement certaines d'entre elles, mais nous vous recommandons de les mettre en œuvre dans l'ordre suivant.
Configurer un accès d'urgence : activez un accès de dernier recours aux Google Cloud ressources.
Nous vous recommandons de configurer un accès d'urgence pour toutes vos Google Cloud organisations, quels que soient vos besoins individuels en matière de continuité de l'activité.
Fournir des alternatives d'authentification pour les utilisateurs critiques : si votre organisation utilise l'authentification unique (SSO), toute interruption affectant votre fournisseur d'identité (IdP) externe peut avoir un impact sur la capacité des employés à s'authentifier et à utiliser Google Cloud.
Pour réduire l'impact global d'une interruption de l'IdP sur votre organisation, fournissez une alternative d'authentification aux utilisateurs essentiels pour l'activité afin qu'ils puissent continuer à accéder aux Google Cloud ressources.
Utiliser un IdP de secours : pour permettre à tous les utilisateurs d'accéder Google Cloud aux ressources en cas d'interruption de l'IdP, vous pouvez maintenir un IdP de secours.
Un IdP de secours peut aider à minimiser davantage l'impact d'une interruption, mais cette option peut ne pas être rentable pour toutes les organisations.
Les sections suivantes décrivent ces étapes recommandées et ces bonnes pratiques.
Configurer un accès d'urgence
L'objectif de l'accès d'urgence est d'activer un accès de dernier recours aux Google Cloud ressources et d'éviter les situations dans lesquelles vous pourriez perdre complètement l'accès.
Les utilisateurs disposant d'un accès d'urgence sont caractérisés par les propriétés suivantes :
- Ce sont des utilisateurs que vous créez dans votre compte Cloud Identity ou Google Workspace.
- Ils disposent du droit de super-administrateur, qui leur offre un accès suffisant pour résoudre toute erreur de configuration affectant Cloud Identity, Google Workspace ou les Google Cloud ressources.
- Ils ne sont pas associés à un employé spécifique de l'organisation et sont exemptés du cycle de vie "Joiner, Mover, and Leaver" (JML) des comptes utilisateur standards.
- Ils sont exemptés de l'authentification unique.
Les sections suivantes décrivent les bonnes pratiques recommandées à suivre lorsque vous gérez et sécurisez les utilisateurs disposant d'un accès d'urgence.
Créer des utilisateurs disposant d'un accès d'urgence pour chaque environnement
Pour les Google Cloud environnements qui hébergent des charges de travail de production, l'accès d'urgence est essentiel. Pour les Google Cloud environnements utilisés à des fins de test ou de préproduction, une perte d'accès peut toujours être perturbatrice.
Pour garantir un accès continu à tous vos Google Cloud environnements, créez et gérez des utilisateurs disposant d'un accès d'urgence dans Cloud Identity ou Google Workspace pour chaque environnement.
Assurer la redondance de l'accès d'urgence
Un seul utilisateur disposant d'un accès d'urgence est un point de défaillance unique. Dans ce scénario, une clé de sécurité défectueuse, un mot de passe perdu ou une suspension de compte peuvent perturber l'accès à un compte. Pour atténuer ce risque, vous pouvez créer plusieurs utilisateurs disposant d'un accès d'urgence pour chaque compte Cloud Identity ou Google Workspace.
Les utilisateurs disposant d'un accès d'urgence sont très privilégiés. Ne les créez donc pas en trop grand nombre. Pour la plupart des organisations, nous recommandons un minimum de deux et un maximum de cinq utilisateurs disposant d'un accès d'urgence pour chaque compte Cloud Identity ou Google Workspace.
Utiliser une unité organisationnelle distincte pour les utilisateurs disposant d'un accès d'urgence
Les utilisateurs disposant d'un accès d'urgence nécessitent une configuration spéciale et ne sont pas soumis au cycle de vie JML que vous pouvez suivre pour d'autres comptes utilisateur.
Pour séparer les utilisateurs disposant d'un accès d'urgence des comptes utilisateur standards, utilisez une unité organisationnelle (UO) dédiée aux utilisateurs disposant d'un accès d'urgence. Une UO distincte vous permet d'appliquer des configurations personnalisées uniquement aux utilisateurs disposant d'un accès d'urgence.
Utiliser des clés de sécurité FIDO pour la validation en deux étapes
Utilisez des clés de sécurité Fast IDentity Online (FIDO) pour la validation en deux étapes.
Étant donné que les utilisateurs disposant d'un accès d'urgence sont des utilisateurs très privilégiés dans votre compte Cloud Identity ou Google Workspace, vous devez les protéger à l'aide de la validation en deux étapes.
Parmi les méthodes de validation en deux étapes compatibles avec Cloud Identity et Google Workspace, nous vous recommandons d'utiliser des clés de sécurité FIDO. Cette méthode offre une protection contre l'hameçonnage et une sécurité renforcée. Pour vous assurer que tous vos utilisateurs disposant d'un accès d'urgence utilisent des clés de sécurité FIDO pour la validation en deux étapes, procédez comme suit :
- Dans l'UO qui contient vos utilisateurs disposant d'un accès d'urgence, configurez la validation en deux étapes pour n'autoriser que les clés de sécurité comme méthode d'authentification.
- Pour tous les utilisateurs disposant d'un accès d'urgence, activez la validation en deux étapes.
- Pour chaque utilisateur disposant d'un accès d'urgence, enregistrez au moins deux clés de sécurité FIDO.
Lorsque vous enregistrez plusieurs clés pour chaque utilisateur, vous contribuez à atténuer le risque de perte d'accès en cas de clé de sécurité défectueuse. Vous augmentez également la probabilité que l'utilisateur puisse accéder à au moins l'une des clés en cas d'urgence.
Il est acceptable d'utiliser le même ensemble de clés de sécurité pour plusieurs utilisateurs disposant d'un accès d'urgence. Toutefois, il est préférable d'utiliser des clés de sécurité différentes pour chaque utilisateur disposant d'un accès d'urgence.
Utiliser des contrôles de sécurité physiques pour protéger les identifiants et les clés de sécurité
Lorsque vous stockez les identifiants et les clés de sécurité des utilisateurs disposant d'un accès d'urgence, vous devez équilibrer une protection renforcée et la disponibilité en cas d'urgence :
- Empêchez le personnel non autorisé d'accéder aux identifiants des utilisateurs disposant d'un accès d'urgence. Les utilisateurs disposant d'un accès d'urgence ne doivent utiliser ces identifiants qu'en cas d'urgence.
- Assurez-vous que le personnel autorisé peut accéder aux identifiants avec un délai minimal en cas d'urgence.
Nous vous recommandons de ne pas vous fier à un gestionnaire de mots de passe basé sur un logiciel. Il est préférable de s'appuyer sur des contrôles de sécurité physiques pour protéger les identifiants et les clés de sécurité des utilisateurs disposant d'un accès d'urgence.
Lorsque vous choisissez les contrôles de sécurité physiques à appliquer, tenez compte des points suivants :
- Améliorer la disponibilité :
- Stockez des copies des mots de passe dans plusieurs emplacements physiques, par exemple dans plusieurs coffres-forts sécurisés dans différents bureaux.
- Enregistrez plusieurs clés de sécurité pour chaque utilisateur disposant d'un accès d'urgence et stockez une clé dans chaque bureau concerné.
- Améliorer la sécurité : stockez le mot de passe et les clés de sécurité dans des emplacements différents.
Éviter l'automatisation pour la rotation des mots de passe
Il peut sembler avantageux d'automatiser la rotation des mots de passe pour les utilisateurs disposant d'un accès d'urgence. Toutefois, cette automatisation peut augmenter le risque de compromission de la sécurité. Les utilisateurs disposant d'un accès d'urgence disposent de droits de super-administrateur. Pour faire tourner le mot de passe d'un super-administrateur, les outils ou scripts d'automatisation doivent également disposer de droits de super-administrateur. Cette exigence peut rendre les outils attrayants pour les pirates informatiques.
Pour vous assurer de ne pas affaiblir votre niveau de sécurité global, n'utilisez pas l'automatisation pour faire tourner les mots de passe.
Utiliser des mots de passe forts
Pour protéger les utilisateurs disposant d'un accès d'urgence, assurez-vous qu'ils utilisent un mot de passe long et sécurisé. Pour appliquer un niveau minimal de complexité des mots de passe, utilisez une UO dédiée comme décrit précédemment et mettez en œuvre des exigences concernant les mots de passe.
Sauf si vous faites tourner les mots de passe manuellement, désactivez l'expiration des mots de passe pour tous les utilisateurs disposant d'un accès d'urgence.
Exclure un utilisateur disposant d'un accès d'urgence des règles d'accès
En cas d'urgence, les règles d'accès contextuel peuvent entraîner une situation dans laquelle même un utilisateur disposant d'un accès d'urgence ne peut pas accéder à certaines ressources. Pour atténuer ce risque, excluez au moins un utilisateur disposant d'un accès d'urgence de tous les niveaux d'accès de vos règles d'accès.
Ces exemptions vous permettent de vous assurer qu'au moins l'un de vos utilisateurs disposant d'un accès d'urgence dispose d'un accès continu aux ressources. En cas d'urgence ou de règle d'accès contextuel mal configurée, ces utilisateurs disposant d'un accès d'urgence peuvent conserver leur accès.
Configurer des alertes pour les événements des utilisateurs disposant d'un accès d'urgence
Toute activité d'un utilisateur disposant d'un accès d'urgence en dehors d'un événement d'urgence indique probablement un comportement suspect. Pour être informé de tout événement lié à l'activité des utilisateurs disposant d'un accès d'urgence, créez une règle de reporting dans la console d'administration Google. Lorsque vous créez une règle de reporting, vous pouvez définir des conditions telles que les suivantes :
- Source de données : événements de journaux des utilisateurs.
Attributs dans l'onglet Générateur de conditions : utilisez des attributs et des opérateurs pour créer un filtre pour l'UO qui contient vos utilisateurs disposant d'un accès d'urgence et les événements.
Par exemple, vous pouvez définir des attributs et des opérateurs pour créer un filtre semblable aux instructions conditionnelles suivantes :
Actor organizational unit Is /Privileged AND (Event Is Successful login OR Event Is Failed login OR Event Is Account password change)Seuil : toutes les heures lorsque le nombre est supérieur à 0
Action : envoyer des notifications par e-mail
Destinataires des e-mails : sélectionnez un groupe contenant les membres concernés de votre équipe de sécurité
Fournir des alternatives d'authentification pour les utilisateurs critiques
Si votre organisation utilise l'authentification unique pour permettre aux employés de s'authentifier auprès des services Google, la disponibilité de votre fournisseur d'identité tiers devient essentielle. Toute interruption de votre IdP peut empêcher les employés d'accéder aux outils et ressources essentiels.
Bien que l'accès d'urgence vous aide à garantir un accès administrateur continu, il ne répond pas aux besoins des employés en cas d'indisponibilité de l'IdP.
Pour réduire l'effet potentiel d'une interruption de l'IdP, vous pouvez configurer votre compte Cloud Identity ou Google Workspace pour utiliser un basculement d'authentification pour les utilisateurs critiques. Vous pouvez utiliser le plan de basculement suivant :
- En temps normal, vous autorisez les utilisateurs à s'authentifier à l'aide de l'authentification unique.
- En cas de panne de l'IdP, vous désactivez sélectivement l'authentification unique pour ces utilisateurs critiques et leur permettez de s'authentifier à l'aide d'identifiants de connexion Google que vous provisionnez à l'avance.
Les sections suivantes décrivent les bonnes pratiques recommandées lorsque vous autorisez les utilisateurs critiques à s'authentifier en cas de panne d'un IdP externe.
Se concentrer sur les utilisateurs privilégiés
Pour que les utilisateurs critiques puissent s'authentifier en cas d'indisponibilité de l'IdP, ils doivent disposer d'identifiants de connexion Google valides, tels que les suivants :
- Un mot de passe avec une clé de sécurité pour l'authentification à deux facteurs.
- Une clé d'accès.
Lorsque vous provisionnez des identifiants de connexion Google pour les utilisateurs qui utilisent normalement l'authentification unique, vous pouvez augmenter la surcharge opérationnelle et les frictions pour les utilisateurs des manières suivantes :
- Vous ne pourrez peut-être pas synchroniser automatiquement les mots de passe des utilisateurs, en fonction de votre IdP. Par conséquent, vous devrez peut-être demander aux utilisateurs de définir un mot de passe manuellement.
- Vous devrez peut-être demander aux utilisateurs d'enregistrer une clé d'accès ou d'activer la validation en deux étapes. Cette étape n'est généralement pas requise pour les utilisateurs de l'authentification unique.
Pour équilibrer les avantages d'un accès ininterrompu aux services Google avec la surcharge supplémentaire, concentrez-vous sur les utilisateurs privilégiés et essentiels pour l'activité. Ces utilisateurs sont plus susceptibles de bénéficier d'un accès ininterrompu, et ils ne représentent peut-être qu'une fraction de votre base d'utilisateurs globale.
Profiter de l'occasion pour activer la validation post-authentification unique
Lorsque vous provisionnez une authentification alternative pour les utilisateurs privilégiés, vous pouvez générer une surcharge supplémentaire involontaire. Pour compenser cette surcharge, vous pouvez également activer la validation post-authentification unique pour ces utilisateurs.
Par défaut, lorsque vous configurez l'authentification unique pour vos utilisateurs, ils ne sont pas tenus d'effectuer la validation en deux étapes. Bien que cette pratique soit pratique, si l'IdP est compromis, tout utilisateur pour lequel la validation post-authentification unique n'est pas activée peut devenir la cible d'attaques de falsification d'identifiants.
La validation post-authentification unique vous aide à atténuer l'effet potentiel d'une compromission de l'IdP, car les utilisateurs doivent effectuer la validation en deux étapes après chaque tentative d'authentification unique. Si vous provisionnez des identifiants de connexion Google pour les utilisateurs privilégiés, la validation post-authentification unique peut contribuer à améliorer la stratégie de sécurité de ces comptes utilisateur sans surcharge supplémentaire.
Utiliser une UO distincte pour les utilisateurs privilégiés
Les utilisateurs privilégiés qui peuvent s'authentifier en cas de panne d'un IdP externe nécessitent une configuration spéciale. Cette configuration diffère de celle des utilisateurs standards et des utilisateurs disposant d'un accès d'urgence.
Pour vous aider à séparer les utilisateurs privilégiés de ces autres comptes utilisateur, utilisez une UO dédiée aux utilisateurs privilégiés. Cette UO distincte vous permet d'appliquer des règles personnalisées, telles que la validation post-authentification unique, uniquement à ces utilisateurs privilégiés.
Une UO distincte vous permet également de désactiver sélectivement l'authentification unique pour les utilisateurs privilégiés en cas de panne de l'IdP. Pour désactiver l'authentification unique pour l'UO, vous pouvez modifier les attributions de profil SSO.
Utiliser un IdP de secours
Lorsque vous fournissez des alternatives d'authentification pour les utilisateurs critiques en cas d'indisponibilité de l'IdP, vous contribuez à réduire l'effet de cette indisponibilité sur votre organisation. Toutefois, cette stratégie d'atténuation peut ne pas suffire à maintenir une capacité opérationnelle totale. De nombreux utilisateurs peuvent toujours ne pas être en mesure d'accéder aux applications et services essentiels.
Pour réduire davantage l'effet potentiel d'une panne de l'IdP, vous pouvez basculer vers un IdP de secours. Vous pouvez utiliser le plan de secours suivant :
- En temps normal, vous autorisez les utilisateurs à s'authentifier à l'aide de l'authentification unique et de votre IdP principal.
- En cas de panne de l'IdP, vous modifiez la configuration SSO de votre compte Cloud Identity ou Google Workspace pour passer à l'IdP de secours.
L'IdP de secours ne doit pas nécessairement provenir du même fournisseur. Lorsque vous créez un IdP de secours, utilisez une configuration qui correspond à celle de votre IdP principal. Pour vous assurer que l'IdP de secours permet à tous vos utilisateurs de s'authentifier et d'accéder aux services Google, il doit utiliser une copie à jour de la base d'utilisateurs de l'IdP principal.
Un IdP de secours peut vous aider à fournir un accès de secours complet. Toutefois, vous devez mettre en balance ces avantages et les risques supplémentaires qu'un IdP de secours peut introduire. Voici quelques exemples de risques potentiels :
- Si l'IdP de secours présente un niveau de sécurité inférieur à celui de l'IdP principal, le niveau de sécurité global de votre Google Cloud environnement peut également être plus faible lors d'un basculement.
- Si l'IdP principal et l'IdP de secours diffèrent dans la manière dont ils émettent des assertions SAML, l'IdP peut exposer les utilisateurs à des attaques par usurpation d'identité.
Les sections suivantes décrivent les bonnes pratiques recommandées lorsque vous utilisez un IdP de secours pour l'accès de secours.
Créer un profil SAML distinct pour l'IdP de secours
Cloud Identity et Google Workspace vous permettent de créer plusieurs profils SAML. Chaque profil SAML peut faire référence à un IdP SAML différent.
Pour minimiser la quantité de travail nécessaire au basculement vers l'IdP de secours, préparez à l'avance un profil SAML pour l'IdP de secours :
- Créez des profils SAML distincts pour votre IdP principal et votre IdP de secours.
- Configurez les attributions de profil SSO pour n'attribuer que le profil SAML de l'IdP principal en temps normal.
- Modifiez les attributions de profil SSO pour utiliser le profil SAML de l'IdP de secours en cas de panne de l'IdP. Ne modifiez pas les paramètres individuels du profil SAML.
Utiliser un IdP sur site existant
Vous n'avez pas besoin de provisionner un IdP supplémentaire pour servir de secours. Vérifiez plutôt si vous pouvez utiliser un IdP sur site existant à cette fin. Par exemple, votre organisation peut utiliser Active Directory comme source faisant autorité pour les identités, et elle peut également utiliser Active Directory Federation Services (AD FS) pour l'authentification unique. Dans ce scénario, vous pourrez peut-être utiliser AD FS comme IdP de secours.
Cette approche de réutilisation peut vous aider à limiter les coûts et les frais de maintenance.
Préparer l'IdP de secours à gérer la charge requise
Lorsque vous passez à l'IdP de secours pour l'authentification, il doit gérer toutes les requêtes d'authentification que votre IdP principal gère normalement.
Lorsque vous déployez et dimensionnez un IdP de secours, n'oubliez pas que le nombre de requêtes attendues dépend des facteurs suivants :
- Le nombre d'utilisateurs dans votre compte Cloud Identity ou Google Workspace.
- La durée de session configurée Google Cloud .
Par exemple, si la durée de la session est comprise entre 8 et 24 heures, les requêtes d'authentification peuvent augmenter pendant les heures du matin lorsque les employés commencent leur journée de travail.
Tester régulièrement la procédure de basculement
Pour vous assurer que le processus de basculement de l'authentification unique fonctionne de manière fiable, vous devez le vérifier régulièrement. Lorsque vous testez la procédure de basculement, procédez comme suit :
- Modifiez manuellement l' attribution de profil SSO d'une ou plusieurs UO ou groupes pour utiliser l'IdP de secours.
- Vérifiez que l'authentification unique avec l'IdP de secours fonctionne comme prévu.
- Vérifiez que les certificats de signature sont à jour.
Étape suivante
- Consultez les bonnes pratiques de sécurité concernant les comptes administrateur.
- Découvrez-en plus sur les bonnes pratiques pour la fédération Google Cloud avec un fournisseur d'identité externe.
- Pour découvrir d'autres architectures de référence, schémas et bonnes pratiques, consultez le Centre d'architecture cloud.
Contributeurs
Auteur : Johannes Passing | Architecte de solutions cloud
Autre contributeur : Ido Flatow | Architecte de solutions cloud