Configurar condiciones de actividad de usuario en una política de acceso a la consola y a las APIs

En este documento se describe cómo configurar las condiciones de actividad de los usuarios en una política de acceso a la consola y a las APIs. Las condiciones de actividad de los usuarios se basan en más de 60 indicadores de riesgo de seguridad de Event Threat Detection de Security Command Center, muchos de los cuales se pueden activar mediante acciones específicas de los usuarios.

Puedes reforzar la seguridad de tu organización y conseguir un control de acceso dinámico basado en riesgos añadiendo condiciones de riesgo basadas en la actividad de los usuarios a tu política de acceso a la consola y a las APIs.

Estas condiciones pueden ayudarte a abordar de forma proactiva los ataques basados en la identidad a gran escala y a mitigar los riesgos activando peticiones de reautenticación para los usuarios cuando se supere el umbral de riesgo definido. Por ejemplo, si alguien intenta acceder a tus sistemas desde una dirección IP peligrosa conocida, inicia sesión desde un lugar desde el que no suele hacerlo o muestra un comportamiento que sugiere un intento de eludir las medidas de seguridad, se le pedirá que vuelva a autenticarse.

Para obtener más información sobre cómo añadir condiciones de actividad de los usuarios a tu política de acceso mejora tu postura de seguridad, consulta el artículo Detección y respuesta ante amenazas de identidad (ITDR) con Acceso contextual.

Antes de empezar

Al configurar esta función, ten en cuenta lo siguiente:

  • Las condiciones de actividad de los usuarios son una función premium y requieren una licencia de Security Command Center Premium o Enterprise.

  • La función de condiciones de actividad de usuario solo está disponible para las cuentas de usuario de identidad de Google de un grupo específico. Esta función no está disponible para los usuarios con inicio de sesión único (SSO) ni para las cuentas de servicio.

  • No puedes usar condiciones de actividad de los usuarios con Workforce Identity Federation.

  • En este documento, una aplicación hace referencia a la consola o a una aplicación personalizada, como una aplicación de Tableau, que puedes usar para obtener datos de un segmento de Cloud Storage o de BigQuery. Google Cloud

Configurar condiciones de actividad de usuario en una política de acceso

Puedes configurar una política de acceso de las siguientes formas:

  • Crea una política de acceso y un nivel de acceso.
  • Crea o actualiza un nivel de acceso y, a continuación, añádelo a una política.

Crear una política de acceso y un nivel de acceso con condiciones de actividad del usuario

Sigue estos pasos para crear un nivel de acceso y una política de acceso a las APIs y a la consola.

Consola

  1. En la Google Cloud consola, abre la página Política de acceso a la consola y a las APIs.

    Ve a Política de acceso a la consola y a las APIs.

  2. En la lista desplegable Seleccionar una organización, elige tu organización y, a continuación, haz clic en Seleccionar.

  3. Haz clic en Añadir política de acceso.

  4. En el cuadro de diálogo Crear política de acceso, selecciona el grupo al que quieras restringir el acceso.

  5. En Seleccionar aplicaciones que acceden a Google Cloud, elige las aplicaciones a las que quieras restringir el acceso. Las condiciones de acceso se aplicarán a las aplicaciones que selecciones. Si no seleccionas ninguna aplicación, las condiciones restringirán el acceso a todas las aplicaciones, excepto a las condiciones de actividad del usuario. Las condiciones de actividad de los usuarios solo se aplican a la consola de Google Cloud .

  6. En Nivel de acceso, puedes seleccionar un nivel de acceso de prueba o un nivel de acceso activo que ya tengas, o bien crear uno nuevo.

    1. Para crear un nivel de acceso, haz clic en Crear nivel de acceso.

    2. En el campo Título del nivel de acceso, introduce un título para el nivel de acceso. El título debe tener un máximo de 50 caracteres, empezar por una letra y solo puede contener números, letras, guiones bajos y espacios.

    3. Especifica las condiciones en las que las entidades principales pueden acceder a la consola y a las APIs.

    4. En Actividad del usuario, los ajustes recomendados incluyen todos los tipos de riesgo siguientes. Desmarca los tipos de riesgo que no quieras incluir al determinar el acceso.

      • Acciones sospechosas: acciones potencialmente maliciosas, como eliminar o reducir las restricciones de seguridad.
      • Reputación de la identidad: cambios en la configuración o el estado de la cuenta, como cambiar la pertenencia a grupos o pasar a estar activa (no inactiva).
      • Fuente maliciosa: actividad de una fuente sospechosa, como una dirección IP asociada a agentes perniciosos.
      • Repetir acciones: intentos de acceso fallidos excesivos, como denegaciones de gestión de identidades y accesos (IAM).
      • Ubicación atípica: acceso desde ubicaciones inusuales, como una zona geográfica nueva.

      El ajuste Respuesta al riesgo y Requerir reautenticación indica que, cuando se supera el umbral de riesgo determinado por Google para el usuario en función de las condiciones de actividad del usuario que hayas definido anteriormente, los usuarios deben volver a autenticarse.

    5. Si has creado más de una condición, usa Combinar condición con para especificar si quieres que el nivel de acceso requiera que una solicitud cumpla al menos una de las condiciones (OR) o todas las condiciones (AND).

    6. Haz clic en Guardar.

  7. En la página Crear política de acceso, selecciona una de las siguientes opciones.

    • Prueba: para probar los cambios antes de aplicar la política. Te recomendamos que empieces con una prueba, uses los resultados de la política para hacer los cambios que necesites y, después, apliques la política.
    • Aplicar: para empezar a aplicar la política.
    • Cancelar: para cancelar la política.

gcloud

  1. Crea el archivo YAML custom-level-spec.yaml.

    expression: "noRiskSignals(userRisk, [RiskType.IDENTITY_REPUTATION, RiskType.MALICIOUS_SOURCE])"

  2. Ejecuta el siguiente comando:

    gcloud access-context-manager levels create risk_based_access_level\
  --title=TITLE \
  --custom-level-spec=YAML_FILE \
  --description="A risk-based access level" \
  --policy=POLICY_NAME

    Haz los cambios siguientes:

    • TITLE: un título descriptivo para tu nivel de acceso.
    • YAML_FILE: archivo YAML de especificación de nivel de acceso personalizado, como custom-level-spec.yaml.
    • POLICY_NAME: nombre de tu política de Access Context Manager.

  3. Vincula el nivel de acceso a una política.

Crear o actualizar un nivel de acceso y añadirlo a una política

Para incluir condiciones de actividad de usuario en tu política, crea un nivel de acceso o actualiza uno que ya tengas y, a continuación, añade ese nivel de acceso a una política.

Consola

  1. Para añadir condiciones de actividad de usuario al crear o actualizar un nivel de acceso, sigue los pasos que se indican en la siguiente documentación y especifica Actividad de usuario:

  2. Para añadir un nivel de acceso con actividades de usuario a una política, actualiza la política de acceso y añade el nivel de acceso.

gcloud

  1. Crea un nivel de acceso con condiciones de actividad del usuario:

    gcloud access-context-manager levels create risk_based_access_level \
  --title=TITLE \
  --custom-level-spec=risk_level.yaml \
  --description="A risk-based access level" \
  --policy=POLICY_NAME

    Haz los cambios siguientes:

    • TITLE: un título descriptivo para tu nivel de acceso, como NoAtypicalLocationRisk.
    • risk_level.yaml: la ruta al archivo YAML que has creado en el paso anterior.
    • POLICY_NAME: el nombre de la política de Access Context Manager a la que quieres añadir el nivel de acceso.

    Ejemplo de archivo risk_level.yaml YAML:

    expression: "noRiskSignals(userRisk, [RiskType.ATYPICAL_LOCATION, RiskType.BAD_NETWORK_SIGNALS])"

    Esta expresión especifica que se concede el nivel de acceso si el riesgo del usuario no incluye una ubicación atípica ni señales de red deficientes.

  2. Vincula el nivel de acceso a un ámbito y a un grupo:

    gcloud access-context-manager cloud-bindings create \
--group-key=GROUP_KEY \
--organization=ORGANIZATION_ID \
--binding-file=BINDING_YAML

    Haz los cambios siguientes:

    • GROUP_KEY: la dirección de correo o el ID de tu grupo de Google.
    • ORGANIZATION_ID: el ID de tu organización.
    • BINDING_YAML: tu archivo de configuración YAML.

    Archivo YAML de ejemplo:

    scopedAccessSettings:
 - scope:
     clientScope:
       restrictedClientApplication:
         name: Cloud Console
   activeSettings:
     accessLevels:
     - accessPolicies/123/accessLevels/access_level_1
   dryRunSettings:
     accessLevels:
     - accessPolicies/123/accessLevels/dry_run_access_level_1

Añadir un nivel de acceso con condiciones de actividad de usuario a una política de acceso

Para añadir un nivel de acceso basado en riesgo a una política, puedes actualizar la política de acceso y añadir el nivel de acceso.