Dokumen ini menjelaskan cara mengonfigurasi kondisi aktivitas pengguna di Kebijakan Akses Konsol dan API. Kondisi aktivitas pengguna didukung oleh lebih dari 60 indikator risiko keamanan dari Event Threat Detection Security Command Center, yang sebagian besar dapat dipicu oleh tindakan pengguna tertentu.
Anda dapat memperkuat postur keamanan organisasi dan mencapai kontrol akses berbasis risiko yang dinamis dengan menambahkan kondisi risiko berdasarkan aktivitas pengguna ke Kebijakan Akses Konsol dan API Anda.
Kondisi ini dapat membantu Anda mengatasi serangan berbasis identitas secara proaktif dalam skala besar dan memitigasi risiko dengan memicu perintah autentikasi ulang bagi pengguna saat batas risiko yang ditentukan terlampaui. Misalnya, jika seseorang mencoba mengakses sistem Anda dari alamat IP berbahaya yang diketahui, login dari tempat yang biasanya tidak digunakan untuk login, atau menunjukkan perilaku yang mengindikasikan upaya untuk melewati langkah-langkah keamanan, orang tersebut akan diminta untuk melakukan autentikasi ulang.
Untuk mengetahui informasi selengkapnya tentang cara menambahkan kondisi aktivitas pengguna ke kebijakan akses Anda meningkatkan postur keamanan Anda, lihat Deteksi dan Respons Ancaman Identitas (ITDR) dengan Akses Kontekstual.
Sebelum memulai
Saat Anda menyiapkan fitur ini, perhatikan hal-hal berikut:
Kondisi aktivitas pengguna adalah fitur premium dan memerlukan lisensi Premium atau Enterprise Security Command Center.
Fitur kondisi aktivitas pengguna hanya tersedia untuk akun pengguna identitas Google dalam grup tertentu. Pengguna Single Sign-On (SSO) dan akun layanan tidak didukung untuk fitur ini.
Anda tidak dapat menggunakan kondisi aktivitas pengguna dengan Workforce Identity Federation.
Di seluruh dokumen ini, aplikasi mengacu pada konsol Google Cloud atau aplikasi kustom, seperti aplikasi Tableau, yang dapat Anda gunakan untuk mendapatkan data dari bucket Cloud Storage atau BigQuery.
Mengonfigurasi kondisi aktivitas pengguna dalam kebijakan akses Anda
Anda dapat mengonfigurasi kebijakan akses dengan cara berikut:
- Buat kebijakan akses dan tingkat akses baru.
- Buat atau perbarui tingkat akses, lalu tambahkan tingkat akses tersebut ke kebijakan.
Membuat kebijakan akses dan tingkat akses baru dengan kondisi aktivitas pengguna
Selesaikan langkah-langkah berikut untuk membuat tingkat akses dan Kebijakan Akses Konsol & API.
Konsol
Di konsol Google Cloud , buka halaman Console & APIs Access Policy.
Dari menu drop-down Pilih organisasi, pilih organisasi Anda, lalu klik Pilih.
Klik Tambahkan kebijakan akses.
Dalam dialog Create access policy, pilih grup yang aksesnya ingin Anda batasi.
Di Pilih aplikasi yang mengakses Google Cloud, pilih aplikasi yang aksesnya ingin Anda batasi. Kondisi akses akan berlaku untuk aplikasi yang Anda pilih. Jika Anda tidak memilih aplikasi apa pun, kondisi akan membatasi akses ke semua aplikasi, kecuali untuk kondisi aktivitas pengguna. Kondisi aktivitas pengguna hanya berlaku untuk konsol Google Cloud .
Di Tingkat akses, Anda dapat memilih tingkat akses uji coba yang ada atau tingkat akses aktif, atau membuat tingkat akses baru.
Untuk membuat tingkat akses, klik Buat tingkat akses baru.
Di kolom Judul tingkat akses, masukkan judul untuk tingkat akses. Judul harus maksimal 50 karakter, diawali dengan huruf, dan hanya boleh berisi angka, huruf, garis bawah, dan spasi.
Tentukan kondisi yang memungkinkan prinsipal mengakses konsol dan API.
Untuk Aktivitas Pengguna, Setelan yang direkomendasikan mencakup semua jenis risiko berikut. Batalkan pilihan jenis risiko yang tidak ingin Anda sertakan saat menentukan akses.
- Tindakan mencurigakan: Tindakan yang berpotensi berbahaya, seperti menghapus atau mengurangi batasan keamanan.
- Reputasi identitas: Perubahan pada setelan atau status akun, seperti mengubah keanggotaan grup atau menjadi aktif (tidak tidak aktif).
- Sumber berbahaya: Aktivitas dari sumber yang mencurigakan, seperti alamat IP yang terkait dengan pihak tidak bertanggung jawab.
- Tindakan berulang: Upaya akses yang gagal secara berlebihan, seperti penolakan Identity and Access Management (IAM).
- Lokasi yang tidak biasa: Akses dari lokasi yang tidak biasa, seperti dari area geografis baru.
Setelan Respons risiko, Wajibkan autentikasi ulang menunjukkan bahwa jika batas risiko yang ditentukan Google terlampaui untuk pengguna berdasarkan kondisi aktivitas pengguna yang Anda tetapkan sebelumnya, pengguna akan diwajibkan untuk melakukan autentikasi ulang.
Jika Anda membuat lebih dari satu kondisi, gunakan Gabungkan kondisi dengan untuk menentukan apakah Anda ingin tingkat akses memerlukan permintaan untuk memenuhi setidaknya salah satu kondisi (OR), atau semua kondisi (AND).
Klik Simpan.
Di halaman Create access policy, pilih dari opsi berikut.
- Uji coba: Untuk menguji perubahan sebelum menerapkan kebijakan. Sebaiknya Anda memulai dengan uji coba, menggunakan hasil kebijakan untuk melakukan perubahan, lalu menerapkan kebijakan.
- Terapkan: Untuk mulai menerapkan kebijakan.
- Batal: Untuk membatalkan kebijakan.
gcloud
Buat file YAML
custom-level-spec.yaml.expression: "noRiskSignals(userRisk, [RiskType.IDENTITY_REPUTATION, RiskType.MALICIOUS_SOURCE])"Jalankan perintah berikut.
gcloud access-context-manager levels create risk_based_access_level\ --title=TITLE \ --custom-level-spec=YAML_FILE \ --description="A risk-based access level" \ --policy=POLICY_NAME
Ganti kode berikut:
TITLE: Judul deskriptif untuk tingkat akses Anda.YAML_FILE: File YAML spesifikasi tingkat akses kustom Anda, seperticustom-level-spec.yaml.POLICY_NAME: Nama kebijakan Access Context Manager Anda.
Ikat tingkat akses ke kebijakan.
Membuat atau memperbarui tingkat akses dan menambahkannya ke kebijakan
Untuk menyertakan kondisi aktivitas pengguna dalam kebijakan Anda, buat tingkat akses baru atau perbarui tingkat akses yang ada, lalu tambahkan tingkat akses tersebut ke kebijakan.
Konsol
Untuk menambahkan kondisi aktivitas pengguna saat membuat atau memperbarui tingkat akses, selesaikan langkah-langkah dalam dokumentasi berikut dan tentukan Aktivitas Pengguna:
Untuk menambahkan tingkat akses dengan aktivitas pengguna ke kebijakan yang ada, perbarui kebijakan akses dan tambahkan tingkat akses.
gcloud
Buat tingkat akses dengan kondisi aktivitas pengguna:
gcloud access-context-manager levels create risk_based_access_level \ --title=TITLE \ --custom-level-spec=risk_level.yaml \ --description="A risk-based access level" \ --policy=POLICY_NAMEGanti kode berikut:
TITLE: Judul deskriptif untuk tingkat akses Anda, sepertiNoAtypicalLocationRisk.risk_level.yaml: Jalur ke file YAML yang Anda buat pada langkah sebelumnya.POLICY_NAME: Nama kebijakan Access Context Manager untuk menambahkan tingkat akses.
Contoh file YAML
risk_level.yaml:expression: "noRiskSignals(userRisk, [RiskType.ATYPICAL_LOCATION, RiskType.BAD_NETWORK_SIGNALS])"Ekspresi ini menentukan bahwa tingkat akses diberikan jika risiko pengguna tidak mencakup lokasi yang tidak biasa atau sinyal jaringan yang buruk.
Ikat tingkat akses ke cakupan dan grup:
gcloud access-context-manager cloud-bindings create \ --group-key=GROUP_KEY \ --organization=ORGANIZATION_ID \ --binding-file=BINDING_YAML
Ganti kode berikut:
- GROUP_KEY: Alamat email atau ID Grup Google Anda.
- ORGANIZATION_ID: ID organisasi Anda.
- BINDING_YAML: File konfigurasi YAML Anda.
Contoh file YAML:
scopedAccessSettings: - scope: clientScope: restrictedClientApplication: name: Cloud Console activeSettings: accessLevels: - accessPolicies/123/accessLevels/access_level_1 dryRunSettings: accessLevels: - accessPolicies/123/accessLevels/dry_run_access_level_1
Menambahkan tingkat akses dengan kondisi aktivitas pengguna ke kebijakan akses
Untuk menambahkan tingkat akses berbasis risiko ke kebijakan yang ada, Anda dapat memperbarui kebijakan akses dan menambahkan tingkat akses.