Configura condiciones de actividad del usuario en una política de acceso a la consola y las APIs

En este documento, se describe cómo configurar las condiciones de actividad del usuario en una política de acceso a la consola y las APIs. Las condiciones de actividad del usuario se basan en más de 60 indicadores de riesgo de seguridad de Event Threat Detection de Security Command Center, muchos de los cuales pueden activarse con acciones específicas del usuario.

Puedes fortalecer la postura de seguridad de tu organización y lograr un control de acceso dinámico basado en riesgos si agregas condiciones de riesgo basadas en la actividad del usuario a tu política de acceso a la consola y las APIs.

Estas condiciones pueden ayudarte a abordar de forma proactiva los ataques basados en la identidad a gran escala y mitigar los riesgos mediante la activación de mensajes de reautenticación para los usuarios cuando se supera el umbral de riesgo definido. Por ejemplo, si alguien intenta acceder a tus sistemas desde una dirección IP peligrosa conocida, accede desde un lugar desde el que no suele hacerlo o muestra un comportamiento que sugiere un intento de eludir las medidas de seguridad, se le pedirá que se vuelva a autenticar.

Para obtener más información sobre cómo agregar condiciones de actividad del usuario a tu política de acceso mejora tu postura de seguridad, consulta Detección y respuesta ante amenazas de identidad (ITDR) con acceso adaptado al contexto.

Antes de comenzar

Cuando configures esta función, ten en cuenta lo siguiente:

  • Las condiciones de actividad del usuario son una función premium y requieren una licencia de Security Command Center Premium o Enterprise.

  • La función de condiciones de actividad del usuario solo está disponible para las cuentas de usuario de identidad de Google dentro de un grupo especificado. Los usuarios de inicio de sesión único (SSO) y las cuentas de servicio no son compatibles con esta función.

  • No puedes usar las condiciones de actividad del usuario con la federación de identidades de personal.

  • En este documento, una app se refiere a la Google Cloud consola o a una app personalizada, como una app de Tableau, que puedes usar para obtener datos de un bucket de Cloud Storage o BigQuery.

Configura las condiciones de actividad del usuario en tu política de acceso

Puedes configurar una política de acceso de las siguientes maneras:

  • Crea una política de acceso y un nivel de acceso nuevos.
  • Crea o actualiza un nivel de acceso y, luego, agrégalo a una política.

Crea una política de acceso y un nivel de acceso nuevos con condiciones de actividad del usuario

Completa los siguientes pasos para crear un nivel de acceso y una política de acceso a la consola y las APIs.

Console

  1. En la Google Cloud consola, abre la página **Política de acceso a la consola y las APIs**.

    Ir a Política de acceso a la consola y las APIs

  2. En la lista desplegable Selecciona una organización , selecciona tu organización y, luego, haz clic en Seleccionar.

  3. Haz clic en Agregar política de acceso.

  4. En el diálogo Crear política de acceso, selecciona un grupo para el que deseas restringir el acceso.

  5. En Selecciona las aplicaciones que pueden acceder a Google Cloud, selecciona las apps para las que deseas restringir el acceso. Las condiciones de acceso se aplicarán a las aplicaciones que selecciones. Si no seleccionas ninguna aplicación, las condiciones restringirán el acceso a todas las aplicaciones, excepto las condiciones de actividad del usuario. Las condiciones de actividad del usuario solo se aplican a la Google Cloud consola.

  6. En Nivel de acceso, puedes seleccionar un nivel de acceso de simulación o un nivel de acceso activo existente, o bien crear un nivel de acceso nuevo.

    1. Para crear un nivel de acceso, haz clic en Crear un nivel de acceso nuevo.

    2. En el campo Título del nivel de acceso, ingresa un título para el nivel de acceso. El título debe tener un máximo de 50 caracteres y comenzar con una letra, y solo puede contener números, letras, guiones bajos y espacios.

    3. Especifica las condiciones en las que las principales pueden acceder a la consola y las APIs.

    4. En Actividad del usuario, la Configuración recomendada incluye todos los siguientes tipos de riesgo. Anula la selección de cualquiera de los tipos de riesgo que no quieras incluir cuando determines el acceso.

      • Acciones sospechosas: Acciones potencialmente maliciosas, como quitar o reducir las restricciones de seguridad.
      • Reputación de identidad: Cambios en la configuración o el estado de la cuenta, como cambiar las membresías de grupos o activarse (no estar inactivo)
      • Fuente maliciosa: Actividad de una fuente sospechosa, como una dirección IP asociada con actores maliciosos.
      • Repetir acciones: Intentos de acceso fallidos excesivos, como denegaciones de Identity and Access Management (IAM)
      • Ubicación atípica: Acceso desde ubicaciones inusuales, como desde un área geográfica nueva

      El parámetro de configuración Respuesta ante el riesgo, Requerir reautenticación indica que, cuando se supera el umbral de riesgo determinado por Google para el usuario en función de las condiciones de actividad del usuario que estableciste antes, los usuarios deben volver a autenticarse.

    5. Si creaste más de una condición, usa Combinar condición con para especificar si deseas que el nivel de acceso requiera una solicitud para cumplir con al menos una de las condiciones (OR) o con todas las condiciones (AND).

    6. Haz clic en Guardar.

  7. En la página Crear política de acceso, selecciona una de las siguientes opciones.

    • Simulación: Para probar los cambios antes de aplicar la política (te recomendamos que comiences con una simulación, uses los resultados de la política para realizar los cambios y, luego, apliques la política)
    • Aplicar: Para comenzar a aplicar la política
    • Cancelar: Para cancelar la política

gcloud

  1. Crea el archivo YAML custom-level-spec.yaml.

    expression: "noRiskSignals(userRisk, [RiskType.IDENTITY_REPUTATION, RiskType.MALICIOUS_SOURCE])"

  2. Ejecuta el siguiente comando.

    gcloud access-context-manager levels create risk_based_access_level\
  --title=TITLE \
  --custom-level-spec=YAML_FILE \
  --description="A risk-based access level" \
  --policy=POLICY_NAME

    Reemplaza lo siguiente:

    • TITLE: Un título descriptivo para tu nivel de acceso
    • YAML_FILE: Tu archivo YAML de especificación de nivel de acceso personalizado, como custom-level-spec.yaml
    • POLICY_NAME: El nombre de tu política de Access Context Manager

  3. Vincula el nivel de acceso a una política.

Crea o actualiza un nivel de acceso y agrégalo a una política

Para incluir condiciones de actividad del usuario en tu política, crea un nivel de acceso nuevo o actualiza uno existente y, luego, agrégalo a una política.

Console

  1. Para agregar condiciones de actividad del usuario cuando creas o actualizas un nivel de acceso, completa los pasos de la siguiente documentación y especifica Actividad del usuario:

  2. Para agregar un nivel de acceso con actividades del usuario a una política existente, actualiza la política de acceso y agrega el nivel de acceso.

gcloud

  1. Crea un nivel de acceso con condiciones de actividad del usuario:

    gcloud access-context-manager levels create risk_based_access_level \
  --title=TITLE \
  --custom-level-spec=risk_level.yaml \
  --description="A risk-based access level" \
  --policy=POLICY_NAME

    Reemplaza lo siguiente:

    • TITLE: Un título descriptivo para tu nivel de acceso, como NoAtypicalLocationRisk
    • risk_level.yaml: La ruta de acceso al archivo YAML que creaste en el paso anterior
    • POLICY_NAME: El nombre de tu política de Access Context Manager a la que agregarás el nivel de acceso

    Archivo YAML risk_level.yaml de ejemplo:

    expression: "noRiskSignals(userRisk, [RiskType.ATYPICAL_LOCATION, RiskType.BAD_NETWORK_SIGNALS])"

    Esta expresión especifica que se otorga el nivel de acceso si el riesgo del usuario no incluye una ubicación atípica ni señales de red incorrectas.

  2. Vincula el nivel de acceso a un permiso y un grupo:

    gcloud access-context-manager cloud-bindings create \
--group-key=GROUP_KEY \
--organization=ORGANIZATION_ID \
--binding-file=BINDING_YAML

    Reemplaza lo siguiente:

    • GROUP_KEY: La dirección de correo electrónico o el ID de tu Grupo de Google
    • ORGANIZATION_ID: El ID de tu organización
    • BINDING_YAML: Tu archivo de configuración YAML

    Archivo YAML de ejemplo:

    scopedAccessSettings:
 - scope:
     clientScope:
       restrictedClientApplication:
         name: Cloud Console
   activeSettings:
     accessLevels:
     - accessPolicies/123/accessLevels/access_level_1
   dryRunSettings:
     accessLevels:
     - accessPolicies/123/accessLevels/dry_run_access_level_1

Agrega un nivel de acceso con condiciones de actividad del usuario a una política de acceso

Para agregar un nivel de acceso basado en riesgos a una política existente, puedes actualizar la política de acceso y agregar el nivel de acceso.