在控制台和 API 存取權政策中設定使用者活動條件

本文說明如何在控制台和 API 存取政策中設定使用者活動條件。使用者活動條件的依據是 Security Command Center Event Threat Detection 提供的 60 多項安全風險指標,其中許多指標會因特定使用者動作而觸發。

在控制台和 API 存取政策中新增以使用者活動為依據的風險條件,即可強化貴機構的資安態勢,並根據風險動態調整存取控管。

這些條件可協助您大規模主動防範身分識別攻擊,並在超過定義的風險門檻時,透過觸發使用者重新驗證提示來降低風險。舉例來說,如果有人嘗試從已知的危險 IP 位址存取您的系統、從他們通常不會登入的地點登入,或出現疑似試圖規避安全措施的行為,系統就會要求他們重新驗證。

如要進一步瞭解在存取權政策中新增使用者活動條件,如何強化資安態勢,請參閱「透過情境感知存取權進行身分威脅偵測與回應 (ITDR)」。

事前準備

設定這項功能時,請注意下列事項:

  • 使用者活動條件是付費功能,需要 Security Command Center 進階版或 Enterprise 授權。

  • 使用者活動條件功能僅適用於特定群組中的 Google 身分使用者帳戶。這項功能不支援單一登入 (SSO) 使用者和服務帳戶。

  • 您無法搭配員工身分聯盟使用使用者活動條件。

  • 本文中的「應用程式」是指 Google Cloud 控制台,或是自訂應用程式 (例如 Tableau 應用程式),可用於從 Cloud Storage bucket 或 BigQuery 取得資料。

在存取權政策中設定使用者活動條件

您可以透過下列方式設定存取權政策:

  • 建立新的存取政策和存取層級。
  • 建立或更新存取層級,然後將該存取層級新增至政策。

建立新的存取權政策和存取層級,並設定使用者活動條件

請完成下列步驟,建立存取層級和控制台與 API 存取權政策。

控制台

  1. 在 Google Cloud 控制台中,開啟「控制台和 API 存取權政策」頁面。

    前往「控制台和 API 存取權政策」

  2. 從「Select an organization」(選取機構) 下拉式選單中,選取您的機構,然後按一下「Select」(選取)

  3. 按一下「新增存取政策」

  4. 在「建立存取權政策」對話方塊中,選取要限制存取權的群組。

  5. 在「選取存取 Google Cloud 的應用程式」中,選取要限制存取權的應用程式。存取條件將套用至您選取的應用程式。如果未選取任何應用程式,則條件會限制所有應用程式的存取權,但使用者活動條件除外。使用者活動條件僅適用於 Google Cloud 控制台。

  6. 在「存取層級」中,您可以選取現有的模擬測試存取層級或有效存取層級,也可以建立新的存取層級。

    1. 如要建立存取層級,請按一下「建立新的存取層級」

    2. 在「Access level title」(存取層級標題) 欄位中,輸入存取層級的標題。 標題不得超過 50 個字元,開頭須為英文字母,且只能由數字、英文字母、底線和空格組成。

    3. 指定主體可存取控制台和 API 的條件

    4. 「使用者活動」的「建議設定」包括下列所有風險類型。取消選取您不想納入存取權判斷依據的風險類型。

      • 可疑動作:可能有害的動作,例如移除或降低安全性限制。
      • 身分信譽:帳戶設定或狀態的變更,例如變更群組成員資格或啟用帳戶 (非閒置狀態)。
      • 惡意來源:來自可疑來源的活動,例如與惡意行為者相關聯的 IP 位址。
      • 重複動作:過度嘗試存取失敗,例如身分與存取權管理 (IAM) 拒絕存取。
      • 異常位置:從不尋常的位置存取,例如新的地理區域。

      「風險回應」和「要求重新驗證」設定表示,當 Google 根據您先前設定的使用者活動條件,判斷使用者超出風險門檻時,系統會要求使用者重新驗證。

    5. 如果您建立多個條件,請使用「Combine condition with」(合併條件),指定存取層級是否要求要求符合至少一個條件 (OR),或所有條件 (AND)。

    6. 按一下 [儲存]

  7. 在「建立存取權政策」頁面中,選取下列項目。

    • 模擬測試:在強制執行政策前測試變更。建議您先進行模擬測試,根據政策結果進行變更,然後再強制執行政策。
    • 強制執行:開始強制執行政策。
    • 取消:取消政策。

gcloud

  1. 建立 custom-level-spec.yaml YAML 檔案。

    expression: "noRiskSignals(userRisk, [RiskType.IDENTITY_REPUTATION, RiskType.MALICIOUS_SOURCE])"

  2. 執行下列指令。

    gcloud access-context-manager levels create risk_based_access_level\
  --title=TITLE \
  --custom-level-spec=YAML_FILE \
  --description="A risk-based access level" \
  --policy=POLICY_NAME

    更改下列內容:

    • TITLE:存取層級的說明標題。
    • YAML_FILE:您的自訂存取層級規格 YAML 檔案,例如 custom-level-spec.yaml
    • POLICY_NAME:Access Context Manager 政策的名稱。

  3. 將存取層級繫結至政策。

建立或更新存取層級,並新增至政策

如要在政策中加入使用者活動條件,請建立新的存取層級或更新現有層級,然後將該存取層級新增至政策。

控制台

  1. 如要在建立或更新存取層級時新增使用者活動條件,請完成下列文件中的步驟,並指定「使用者活動」

  2. 如要為現有政策新增存取層級和使用者活動,請更新存取權政策,然後新增存取層級。

gcloud

  1. 建立存取層級並設定使用者活動條件:

    gcloud access-context-manager levels create risk_based_access_level \
  --title=TITLE \
  --custom-level-spec=risk_level.yaml \
  --description="A risk-based access level" \
  --policy=POLICY_NAME

    更改下列內容:

    • TITLE:存取層級的說明標題,例如 NoAtypicalLocationRisk
    • risk_level.yaml:您在上一個步驟中建立的 YAML 檔案路徑。
    • POLICY_NAME:要新增存取層級的 Access Context Manager 政策名稱。

    YAML 檔案範例 risk_level.yaml

    expression: "noRiskSignals(userRisk, [RiskType.ATYPICAL_LOCATION, RiskType.BAD_NETWORK_SIGNALS])"

    這項運算式指定,如果使用者風險不包括異常位置或不良網路訊號,系統就會授予存取層級。

  2. 將存取層級繫結至範圍和群組:

    gcloud access-context-manager cloud-bindings create \
--group-key=GROUP_KEY \
--organization=ORGANIZATION_ID \
--binding-file=BINDING_YAML

    更改下列內容:

    • GROUP_KEY:Google 群組的電子郵件地址或 ID。
    • ORGANIZATION_ID:貴機構的 ID。
    • BINDING_YAML:YAML 設定檔。

    YAML 檔案範例:

    scopedAccessSettings:
 - scope:
     clientScope:
       restrictedClientApplication:
         name: Cloud Console
   activeSettings:
     accessLevels:
     - accessPolicies/123/accessLevels/access_level_1
   dryRunSettings:
     accessLevels:
     - accessPolicies/123/accessLevels/dry_run_access_level_1

在存取權政策中新增存取層級,並設定使用者活動條件

如要將風險控管存取層級新增至現有政策,請更新存取權政策並新增存取層級。