Bedingungen für Nutzeraktivitäten in einer Zugriffsrichtlinie für Console und APIs konfigurieren

In diesem Dokument wird beschrieben, wie Sie Bedingungen für Nutzeraktivitäten in einer Console- und APIs-Zugriffsrichtlinie konfigurieren. Nutzeraktivitätsbedingungen basieren auf über 60 Sicherheitsrisikoindikatoren aus Security Command Center Event Threat Detection. Viele davon können durch bestimmte Nutzeraktionen ausgelöst werden.

Sie können die Sicherheit Ihrer Organisation erhöhen und eine dynamische risikobasierte Zugriffssteuerung erreichen, indem Sie Ihrer Zugriffsrichtlinie für die Console und APIs risikobasierte Bedingungen für Nutzeraktivitäten hinzufügen.

Mit diesen Bedingungen können Sie identitätsbasierte Angriffe proaktiv in großem Umfang abwehren und Risiken minimieren, indem Sie für Nutzer Aufforderungen zur erneuten Authentifizierung auslösen, wenn der definierte Risikoschwellenwert überschritten wird. Wenn beispielsweise jemand versucht, über eine bekannte gefährliche IP-Adresse auf Ihre Systeme zuzugreifen, sich von einem Ort aus anmeldet, von dem er sich normalerweise nicht anmeldet, oder Verhaltensweisen zeigt, die auf einen Versuch hindeuten, Sicherheitsmaßnahmen zu umgehen, wird er aufgefordert, sich noch einmal zu authentifizieren.

Weitere Informationen dazu, wie das Hinzufügen von Bedingungen für Nutzeraktivitäten zu Ihrer Zugriffsrichtlinie Ihre Sicherheitslage verbessert, finden Sie unter Identity Threat Detection and Response (ITDR) with Context-Aware Access.

Hinweise

Beachten Sie beim Einrichten dieser Funktion Folgendes:

  • Bedingungen für Nutzeraktivitäten sind eine Premium-Funktion und erfordern eine Security Command Center Premium- oder Enterprise-Lizenz.

  • Die Funktion „Bedingungen für Nutzeraktivitäten“ ist nur für Google-Identitätskonten in einer bestimmten Gruppe verfügbar. Nutzer mit Einmalanmeldung (SSO) und Dienstkonten werden für diese Funktion nicht unterstützt.

  • Sie können keine Bedingungen für Nutzeraktivitäten mit der Mitarbeiteridentitätsföderation verwenden.

  • In diesem Dokument bezieht sich „App“ entweder auf die Google Cloud -Konsole oder auf eine benutzerdefinierte App, z. B. eine Tableau-App, mit der Sie Daten aus einem Cloud Storage-Bucket oder aus BigQuery abrufen können.

Bedingungen für Nutzeraktivitäten in Ihrer Zugriffsrichtlinie konfigurieren

Sie haben folgende Möglichkeiten, eine Zugriffsrichtlinie zu konfigurieren:

  • Erstellen Sie eine neue Zugriffsrichtlinie und Zugriffsebene.
  • Erstellen oder aktualisieren Sie eine Zugriffsebene und fügen Sie sie dann einer Richtlinie hinzu.

Neue Zugriffsrichtlinie und Zugriffsebene mit Bedingungen für Nutzeraktivitäten erstellen

Führen Sie die folgenden Schritte aus, um eine Zugriffsebene und eine Zugriffsrichtlinie für Console und APIs zu erstellen.

Console

  1. Öffnen Sie in der Google Cloud Console die Seite Console & APIs Access Policy (Zugriffsrichtlinie für Console und APIs).

    Zur Zugriffsrichtlinie für Console und APIs

  2. Wählen Sie aus der Drop-down-Liste Organisation auswählen Ihre Organisation aus und klicken Sie dann auf Auswählen.

  3. Klicken Sie auf Zugriffsrichtlinie hinzufügen.

  4. Wählen Sie im Dialogfeld Zugriffsrichtlinie erstellen eine Gruppe aus, für die Sie den Zugriff einschränken möchten.

  5. Wählen Sie unter Anwendungen auswählen, die auf Google Cloud zugreifen die Apps aus, für die Sie den Zugriff einschränken möchten. Die Zugriffsbedingungen gelten für die von Ihnen ausgewählten Anwendungen. Wenn Sie keine Anwendungen auswählen, schränken die Bedingungen den Zugriff auf alle Anwendungen ein, mit Ausnahme von Bedingungen für Nutzeraktivitäten. Bedingungen für Nutzeraktivitäten gelten nur für die Google Cloud Console.

  6. Unter Zugriffsebene können Sie eine vorhandene Zugriffsebene für den Probelauf oder eine aktive Zugriffsebene auswählen oder eine neue Zugriffsebene erstellen.

    1. Klicken Sie zum Erstellen einer Zugriffsebene auf Neue Zugriffsebene erstellen.

    2. Geben Sie in das Feld Titel der Zugriffsebene einen Titel ein für Zugriffsebene ein. Der Titel darf maximal 50 Zeichen lang sein und muss mit einem Buchstaben beginnen. Er darf nur Zahlen, Buchstaben, Unterstriche und Leerzeichen enthalten.

    3. Geben Sie die Bedingungen an, unter denen Hauptkonten auf die Console und APIs zugreifen können.

    4. Für Nutzeraktivität umfassen die Empfohlenen Einstellungen alle folgenden Risikotypen. Deaktivieren Sie alle Risikotypen, die Sie beim Bestimmen des Zugriffs nicht berücksichtigen möchten.

      • Verdächtige Aktionen: Potenziell schädliche Aktionen, z. B. das Entfernen oder Reduzieren von Sicherheitsbeschränkungen.
      • Identitätsreputation: Änderungen an den Kontoeinstellungen oder dem Kontostatus, z. B. Änderungen an Gruppenmitgliedschaften oder Aktivierung (kein inaktives Konto).
      • Schädliche Quelle: Aktivität aus einer verdächtigen Quelle, z. B. einer IP-Adresse, die mit böswilligen Akteuren in Verbindung gebracht wird.
      • Wiederholte Aktionen: Zu viele fehlgeschlagene Zugriffsversuche, z. B. Ablehnungen durch Identity and Access Management (IAM).
      • Atypischer Standort: Zugriff von ungewöhnlichen Standorten, z. B. von einem neuen geografischen Gebiet.

      Die Einstellung Risikoreaktion → Erneute Authentifizierung erforderlich gibt an, dass Nutzer sich noch einmal authentifizieren müssen, wenn der von Google ermittelte Risikoschwellenwert für den Nutzer basierend auf den von Ihnen festgelegten Bedingungen für Nutzeraktivitäten überschritten wird.

    5. Wenn Sie mehrere Bedingungen erstellt haben, verwenden Sie Bedingung kombinieren mit, um anzugeben, ob eine Anfrage auf der Zugriffsebene mindestens eine der Bedingungen (OR) oder alle Bedingungen (AND) erfüllen muss.

    6. Klicken Sie auf Speichern.

  7. Wählen Sie auf der Seite Zugriffsrichtlinie erstellen eine der folgenden Optionen aus.

    • Probelauf: Sie können Ihre Änderungen testen, bevor Sie die Richtlinie erzwingen. Wir empfehlen, mit einem Probelauf zu beginnen, die Richtlinienergebnisse zu verwenden, um Änderungen vorzunehmen, und die Richtlinie dann zu erzwingen.
    • Erzwingen: Die Richtlinie wird ab sofort erzwungen.
    • Cancel (Abbrechen): Die Richtlinie wird abgebrochen.

gcloud

  1. Erstellen Sie die custom-level-spec.yaml-YAML-Datei.

    expression: "noRiskSignals(userRisk, [RiskType.IDENTITY_REPUTATION, RiskType.MALICIOUS_SOURCE])"

  2. Führen Sie den folgenden Befehl aus:

    gcloud access-context-manager levels create risk_based_access_level\
  --title=TITLE \
  --custom-level-spec=YAML_FILE \
  --description="A risk-based access level" \
  --policy=POLICY_NAME

    Ersetzen Sie Folgendes:

    • TITLE: Ein aussagekräftiger Titel für Ihre Zugriffsebene.
    • YAML_FILE: Die YAML-Datei mit der Spezifikation Ihrer benutzerdefinierten Zugriffsebene, z. B. custom-level-spec.yaml.
    • POLICY_NAME: Der Name Ihrer Access Context Manager-Richtlinie.

  3. Zugriffsebene an eine Richtlinie binden

Zugriffsebene erstellen oder aktualisieren und einer Richtlinie hinzufügen

Wenn Sie Bedingungen für Nutzeraktivitäten in Ihre Richtlinie aufnehmen möchten, erstellen Sie eine neue Zugriffsebene oder aktualisieren Sie eine vorhandene und fügen Sie diese Zugriffsebene dann einer Richtlinie hinzu.

Console

  1. Wenn Sie beim Erstellen oder Aktualisieren einer Zugriffsebene Bedingungen für die Nutzeraktivität hinzufügen möchten, führen Sie die Schritte in der folgenden Dokumentation aus und geben Sie Nutzeraktivität an:

  2. Wenn Sie einer vorhandenen Richtlinie eine Zugriffsebene mit Nutzeraktivitäten hinzufügen möchten, aktualisieren Sie die Zugriffsrichtlinie und fügen Sie die Zugriffsebene hinzu.

gcloud

  1. So erstellen Sie eine Zugriffsebene mit Bedingungen für Nutzeraktivitäten:

    gcloud access-context-manager levels create risk_based_access_level \
  --title=TITLE \
  --custom-level-spec=risk_level.yaml \
  --description="A risk-based access level" \
  --policy=POLICY_NAME

    Ersetzen Sie Folgendes:

    • TITLE: Ein aussagekräftiger Titel für Ihre Zugriffsebene, z. B. NoAtypicalLocationRisk.
    • risk_level.yaml: Der Pfad zur YAML-Datei, die Sie im vorherigen Schritt erstellt haben.
    • POLICY_NAME: Der Name Ihrer Access Context Manager-Richtlinie, der Sie die Zugriffsebene hinzufügen möchten.

    Beispiel für eine risk_level.yaml-YAML-Datei:

    expression: "noRiskSignals(userRisk, [RiskType.ATYPICAL_LOCATION, RiskType.BAD_NETWORK_SIGNALS])"

    Dieser Ausdruck gibt an, dass die Zugriffsebene gewährt wird, wenn das Risiko des Nutzers keine atypischen Standorte oder schlechten Netzwerksignale umfasst.

  2. Zugriffsebene an einen Bereich und eine Gruppe binden:

    gcloud access-context-manager cloud-bindings create \
--group-key=GROUP_KEY \
--organization=ORGANIZATION_ID \
--binding-file=BINDING_YAML

    Ersetzen Sie Folgendes:

    • GROUP_KEY: Die E-Mail-Adresse oder ID Ihrer Google-Gruppe.
    • ORGANIZATION_ID: Die ID Ihrer Organisation.
    • BINDING_YAML: Ihre YAML-Konfigurationsdatei.

    Beispiel für eine YAML-Datei:

    scopedAccessSettings:
 - scope:
     clientScope:
       restrictedClientApplication:
         name: Cloud Console
   activeSettings:
     accessLevels:
     - accessPolicies/123/accessLevels/access_level_1
   dryRunSettings:
     accessLevels:
     - accessPolicies/123/accessLevels/dry_run_access_level_1

Einer Zugriffsrichtlinie eine Zugriffsebene mit Bedingungen für Nutzeraktivitäten hinzufügen

Wenn Sie einer vorhandenen Richtlinie eine risikobasierte Zugriffsebene hinzufügen möchten, können Sie die Zugriffsrichtlinie aktualisieren und die Zugriffsebene hinzufügen.