Configurare le condizioni dell'attività utente in un criterio di accesso a console e API

Questo documento descrive come configurare le condizioni attività utente in una policy di accesso a console e API. Le condizioni relative all'attività dell'utente sono basate su oltre 60 indicatori di rischio per la sicurezza di Event Threat Detection di Security Command Center, molti dei quali possono essere attivati da azioni specifiche dell'utente.

Puoi rafforzare la postura di sicurezza della tua organizzazione e ottenere un controllo dell'accesso dinamico basato sul rischio aggiungendo condizioni di rischio basate sull'attività utente alla tua policy di accesso a console e API.

Queste condizioni possono aiutarti ad affrontare in modo proattivo gli attacchi basati sull'identità su larga scala e a mitigare i rischi attivando le richieste di riautenticazione per gli utenti quando viene superata la soglia di rischio definita. Ad esempio, se qualcuno tenta di accedere ai tuoi sistemi da un indirizzo IP pericoloso noto, esegue l'accesso da un luogo da cui di solito non lo fa o mostra un comportamento che suggerisce un tentativo di bypassare le misure di sicurezza, gli verrà chiesto di riautenticarsi.

Per ulteriori informazioni su come l'aggiunta di condizioni relative all'attività utente alla policy di accesso migliora la postura di sicurezza, consulta Rilevamento e risposta alle minacce per l'identità (ITDR) con l'accesso sensibile al contesto.

Prima di iniziare

Quando configuri questa funzionalità, tieni presente quanto segue:

  • Le condizioni relative all'attività dell'utente sono una funzionalità Premium e richiedono una licenza Security Command Center Premium o Enterprise.

  • La funzionalità delle condizioni relative all'attività utente è disponibile solo per gli account utente con identità Google all'interno di un gruppo specificato. Gli utenti Single Sign-On (SSO) e i service account non sono supportati per questa funzionalità.

  • Non puoi utilizzare le condizioni attività utente con la federazione delle identità per la forza lavoro.

  • In questo documento, un'app si riferisce alla Google Cloud console o a un' app personalizzata, ad esempio un'app Tableau, che puoi utilizzare per ottenere dati da un bucket Cloud Storage o da BigQuery.

Configurare le condizioni attività utente nella policy di accesso

Puoi configurare una policy di accesso nei seguenti modi:

  • Crea una nuova policy di accesso e un nuovo livello di accesso.
  • Crea o aggiorna un livello di accesso, quindi aggiungilo a una policy.

Creare una nuova policy di accesso e un nuovo livello di accesso con condizioni relative all'attività utente

Completa i seguenti passaggi per creare un livello di accesso e una policy di accesso a console e API.

Console

  1. Nella Google Cloud console, apri la pagina Policy di accesso a console e API.

    Vai a Policy di accesso a console e API

  2. Nell'elenco a discesa Seleziona un'organizzazione, seleziona la tua organizzazione, quindi fai clic su Seleziona.

  3. Fai clic su Aggiungi policy di accesso.

  4. Nella finestra di dialogo Crea policy di accesso, seleziona un gruppo per il quale vuoi limitare l'accesso.

  5. In Seleziona le applicazioni che accedono a Google Cloud, seleziona le app per le quali vuoi limitare l'accesso. Le condizioni di accesso verranno applicate alle applicazioni selezionate. Se non selezioni alcuna applicazione, le condizioni limiteranno l'accesso a tutte le applicazioni, ad eccezione delle condizioni relative all'attività utente. Le condizioni relative all'attività dell'utente si applicano solo alla Google Cloud console.

  6. In Livello di accesso, puoi selezionare un livello di accesso dry run o un livello di accesso attivo esistente oppure creare un nuovo livello di accesso.

    1. Per creare un livello di accesso, fai clic su Crea nuovo livello di accesso.

    2. Nel campo Titolo livello di accesso, inserisci un titolo per il livello di accesso. Il titolo deve contenere al massimo 50 caratteri, iniziare con una lettera e può contenere solo numeri, lettere, trattini bassi e spazi.

    3. Specifica le condizioni in base alle quali le entità possono accedere alla console e alle API.

    4. Per Attività utente, le Impostazioni consigliate includono tutti i seguenti tipi di rischio. Deseleziona i tipi di rischio che non vuoi includere nella determinazione dell'accesso.

      • Azioni sospette: azioni potenzialmente dannose, come la rimozione o la riduzione delle limitazioni di sicurezza.
      • Reputazione dell'identità: modifiche alle impostazioni o allo stato dell'account, ad esempio la modifica delle appartenenze ai gruppi o l'attivazione (non inattiva).
      • Origine dannosa: attività da un'origine sospetta, ad esempio un indirizzo IP associato ad attori dannosi.
      • Azioni ripetute: tentativi di accesso non riusciti eccessivi, ad esempio negazioni di Identity and Access Management (IAM).
      • Località atipica: accesso da località insolite, ad esempio da una nuova area geografica.

      L'impostazione Risposta al rischio, Richiedi riautenticazione indica che, quando la soglia di rischio determinata da Google viene superata per l' utente in base alle condizioni attività utente impostate in precedenza, gli utenti devono riautenticarsi.

    5. Se hai creato più di una condizione, utilizza Combina condizione con per specificare se vuoi che il livello di accesso richieda che una richiesta soddisfi almeno una delle condizioni (OR) o tutte le condizioni (AND).

    6. Fai clic su Salva.

  7. Nella pagina Crea policy di accesso, seleziona una delle seguenti opzioni.

    • Dry run: per testare le modifiche prima di applicare la policy. Ti consigliamo di iniziare con un dry run, utilizzare i risultati della policy per apportare eventuali modifiche e poi applicare la policy.
    • Applica: per iniziare ad applicare la policy.
    • Annulla: per annullare la policy.

gcloud

  1. Crea il file YAML custom-level-spec.yaml.

    expression: "noRiskSignals(userRisk, [RiskType.IDENTITY_REPUTATION, RiskType.MALICIOUS_SOURCE])"

  2. Esegui questo comando.

    gcloud access-context-manager levels create risk_based_access_level\
  --title=TITLE \
  --custom-level-spec=YAML_FILE \
  --description="A risk-based access level" \
  --policy=POLICY_NAME

    Sostituisci quanto segue:

    • TITLE: un titolo descrittivo per il livello di accesso.
    • YAML_FILE: il file YAML di specifica del livello di accesso personalizzato, ad esempio custom-level-spec.yaml.
    • POLICY_NAME: il nome della policy di Gestore contesto accesso.

  3. Associa il livello di accesso a una policy.

Creare o aggiornare un livello di accesso e aggiungerlo a una policy

Per includere le condizioni relative all'attività utente nella policy, crea un nuovo livello di accesso o aggiorna uno esistente, quindi aggiungilo a una policy.

Console

  1. Per aggiungere le condizioni relative all'attività dell'utente durante la creazione o l'aggiornamento di un livello di accesso, completa i passaggi descritti nella seguente documentazione e specifica Attività utente:

  2. Per aggiungere un livello di accesso con attività utente a una policy esistente, aggiorna la policy di accesso e aggiungi il livello di accesso.

gcloud

  1. Crea un livello di accesso con condizioni relative all'attività utente:

    gcloud access-context-manager levels create risk_based_access_level \
  --title=TITLE \
  --custom-level-spec=risk_level.yaml \
  --description="A risk-based access level" \
  --policy=POLICY_NAME

    Sostituisci quanto segue:

    • TITLE: un titolo descrittivo per il livello di accesso, ad esempio NoAtypicalLocationRisk.
    • risk_level.yaml: il percorso del file YAML creato nel passaggio precedente.
    • POLICY_NAME: il nome della policy di Gestore contesto accesso a cui aggiungere il livello di accesso.

    Esempio di file YAML risk_level.yaml:

    expression: "noRiskSignals(userRisk, [RiskType.ATYPICAL_LOCATION, RiskType.BAD_NETWORK_SIGNALS])"

    Questa espressione specifica che il livello di accesso viene concesso se il rischio dell'utente non include una località atipica o segnali di rete errati.

  2. Associa il livello di accesso a un ambito e a un gruppo:

    gcloud access-context-manager cloud-bindings create \
--group-key=GROUP_KEY \
--organization=ORGANIZATION_ID \
--binding-file=BINDING_YAML

    Sostituisci quanto segue:

    • GROUP_KEY: l'indirizzo email o l'ID del tuo Gruppo Google.
    • ORGANIZATION_ID: l'ID della tua organizzazione.
    • BINDING_YAML: il file di configurazione YAML.

    Esempio di file YAML:

    scopedAccessSettings:
 - scope:
     clientScope:
       restrictedClientApplication:
         name: Cloud Console
   activeSettings:
     accessLevels:
     - accessPolicies/123/accessLevels/access_level_1
   dryRunSettings:
     accessLevels:
     - accessPolicies/123/accessLevels/dry_run_access_level_1

Aggiungere un livello di accesso con condizioni relative all'attività utente a una policy di accesso

Per aggiungere un livello di accesso basato sul rischio a una policy esistente, puoi aggiornare la policy di accesso e aggiungere il livello di accesso.