In diesem Dokument werden Best Practices, Szenarien und Verfahren zum Widerrufen des Zugriffs eines Nutzers auf ein Google Cloud -Projekt beschrieben. Da jedes Unternehmen unterschiedliche Richtlinien und Arbeitslasten hat, empfehlen wir Ihnen, anhand dieses Dokuments eigene Richtlinien und Verfahren zu entwickeln, mit denen Sie den Zugriff konsistent und zeitnah widerrufen können.
Wenn ein Mitarbeiter das Unternehmen verlässt, der Vertrag mit einem Auftragnehmer endet oder ein Mitarbeiter anderen Projekten zugewiesen wird, müssen Sie bestimmte Schritte unternehmen, um nicht mehr benötigten Zugriff auf Ihre Cloud-Ressourcen zu widerrufen.
Einige dieser Verfahren sind optional. Sie sollten anhand der Sicherheitsanforderungen, den verwendeten Produkten und dem Vertrauen in die Person, der Sie den Zugriff entziehen möchten, festlegen, welche Schritte auszuführen sind.
Best Practices zum Einrichten Ihres Projekts
Bereits beim Einrichten des Projekts können Sie durch die Auswahl bestimmter Optionen dafür sorgen, dass der Nutzerzugriff effektiv widerrufen werden kann.
Nutzerkonten mit Ihrem vorhandenen Identitätsanbieter verbinden
Wenn Sie Nutzerkonten mit Ihrem vorhandenen Identitätsanbieter verknüpfen, müssen Sie Sperr- und Löschereignisse für Nutzer weitergeben. Wenn Sie ein Nutzerkonto bei Ihrem Identitätsanbieter sperren oder entfernen, verliert der Nutzer bei der Weiterleitung auch den Zugriff auf Google Cloud Ressourcen.
Weitere Informationen finden Sie unter Best Practices für die Verbindung von Google Cloud mit einem externen Identitätsanbieter Google Cloud .
Weitere Best Practices für die Identität finden Sie unter Best Practices für die Planung von Konten und Organisationen.
Weitere Informationen zur Workforce Identity-Föderation finden Sie unter Workforce Identity-Föderation.
Mit Google Groups den Zugriff auf Projektressourcen verwalten
Mit Google Groups können Sie Nutzer basierend auf ihrer Teammitgliedschaft, ihren Zugriffsanforderungen oder anderen Kriterien organisieren. Nachdem Sie Google Groups erstellt haben, können Sie den Zugriff auf Google Cloud Projekte und Ressourcen basierend auf der Gruppenmitgliedschaft zuweisen. Wenn ein Nutzer zu einem anderen Team oder einer anderen Position wechselt, können Sie das Nutzerkonto einfach in eine andere Gruppe verschieben. Dadurch wird der Zugriff, der durch Zulassungsrichtlinien gewährt wurde, automatisch der vorherigen Gruppe entfernt.
Die Verwendung von Google Groups ist nicht in allen Fällen angebracht. Sie sollten beispielsweise keine Gruppen verwenden, die nur auf der Organisationsstruktur Ihres Unternehmens basieren, um den Zugriff zu verwalten. Best Practices für die Verwendung von Gruppen finden Sie unter Best Practices für Google Groups.
Weitere Informationen finden Sie unter Gruppen in der Google Cloud Console verwalten und Gruppe in Ihrer Organisation erstellen.
Verwenden Sie OS Login
Verwenden Sie OS Login anstelle von metadatenbasierten SSH-Schlüsseln, damit die autorisierten Schlüssel des Nutzers mit seiner Google-Identität verknüpft werden. Wenn Sie ein Nutzerkonto entfernen, werden die autorisierten Schlüssel und der Zugriff auf VMs automatisch widerrufen. Weitere Informationen finden Sie unter Mit OS Login eine kontinuierliche Zugriffsbewertung anhand von IAM-Richtlinien gewährleisten.
Eine Anleitung finden Sie unter OS Login einrichten.
Zugriff von externen Nutzerkonten einschränken
Gewähren Sie externen Nutzern keinen Zugriff auf das Projekt, da Sie den Lebenszyklus für diese Nutzerkonten nicht steuern können. Verwenden Sie die Listeneinschränkung iam.allowedPolicyMemberDomains, um externe Nutzer einzuschränken.
Eine Anleitung finden Sie unter Identitäten nach Domain einschränken.
Authentifizierungsproxys mit Datenbanken verwenden
Mit Authentifizierungsproxys können Sie den Lebenszyklus von Datenbankanmeldedaten mit dem Lebenszyklus einer Google-Identität verknüpfen. Wenn Sie ein Nutzerkonto in Cloud Identity oder Google Workspace sperren oder löschen, wird der Zugriff auf Datenbanken automatisch widerrufen.
Weitere Informationen finden Sie unter Cloud SQL Auth-Proxy und Auth-Proxy von AlloyDB for PostgreSQL.
Rotation von Anmeldedaten vorbereiten
Entwerfen Sie Ihre Projekte und Ressourcen so, dass eine unterbrechungsfreie Rotation der Anmeldedaten auf Projektebene möglich ist. Hierbei handelt es sich um projektbezogene Secrets wie Dienstkontoschlüssel, OAuth-Clientschlüssel und anwendungsspezifische Secrets (z. B. Datenbank-Root-Passwörter). Weitere Informationen finden Sie unter ManipulierteGoogle Cloud -Anmeldedaten verarbeiten.
API-Schlüssel einschränken
Beim Erstellen und Verwalten von API-Schlüsseln sollten Sie deren Verwendung auf Websites, IP-Adressen und Anwendungen beschränken. Ein Nutzerkonto mit Rollen wie Betrachter oder API-Schlüsseladministrator kann die API-Schlüssel Ihres Projekts sehen. Daher müssen uneingeschränkte Schlüssel rotiert oder gelöscht werden, um den Abrechnungszugriff zu widerrufen. Weitere Informationen finden Sie unter API-Schlüssel sichern.
Zugriffsberechtigungen überwachen
Eine sorgfältige Zugriffsüberwachung trägt dazu bei, potenziellen Missbrauch zu verhindern. Mit dem IAM-Rollen-Recommender können Sie die Rollennutzung im Blick behalten und so das Prinzip der geringsten Berechtigung besser durchsetzen. Mit den Cloud Infrastructure Entitlement Management (CIEM)-Funktionen von Security Command Center können Sie außerdem verwalten, welche Identitäten Zugriff auf welche Ressourcen in Ihren Bereitstellungen haben, und potenzielle Sicherheitslücken durch Fehlkonfigurationen beheben.
Einheitlichen Zugriff auf Bucket-Ebene für Cloud Storage verwenden
Mit dem einheitlichen Zugriff auf Bucket-Ebene können Sie Berechtigungen für Ihre Cloud Storage-Buckets nur mit IAM verwalten. Verwenden Sie den einheitlichen Zugriff auf Bucket-Ebene zusammen mit anderen Zugriffssteuerungsoptionen, um einzuschränken, wer auf die Inhalte in Ihren Buckets zugreifen kann.
Zusätzliche Best Practices
Lesen Sie zusätzlich zu den in diesem Dokument beschriebenen Best Practices folgende Best Practices:
- Best Practices für die Arbeit mit Dienstkonten
- Sicherheit für Ihre Google Cloud Landing Zone festlegen
- Jeden Zugriffsversuch explizit bestätigen
Szenarien für den Widerruf von Zugriff auf Google Cloud -Projekte
Wenn Sie die unter Best Practices zum Einrichten Ihres Projekts aufgeführten Best Practices implementiert haben, wird in der folgenden Tabelle zusammengefasst, wie Sie den Zugriff widerrufen können.
| Szenario | Zugriffsoptionen widerrufen |
|---|---|
| Ein Mitarbeiter verlässt Ihr Unternehmen. | Wenn Sie eine Verknüpfung zwischen Cloud Identity oder Google Workspace mit automatischer Nutzerverwaltung einrichten, kann der Zugriff automatisch widerrufen werden. Wenn Sie die Best Practices nicht befolgt und externen Nutzeridentitäten Zugriff auf Ihre Ressourcen gewährt haben, müssen Sie die Identitäten manuell aus Ihren Projekten und Ressourcen entfernen. |
| Ein Mitarbeiter ändert seine Jobfunktion. | Sie entfernen den Mitarbeiter aus der Teamgruppe. |
| Eine Vertragsbindung endet. | Wenn Sie eine Verknüpfung zwischen Cloud Identity oder Google Workspace mit automatischer Nutzerverwaltung einrichten, kann der Zugriff automatisch widerrufen werden. Wenn Sie die Best Practices nicht befolgt und externen Nutzeridentitäten Zugriff auf Ihre Ressourcen gewährt haben, müssen Sie die Identitäten manuell aus Ihren Projekten und Ressourcen entfernen. |
| Ein Konto wurde manipuliert. | Eine Anleitung finden Sie unter ManipulierteGoogle Cloud -Anmeldedaten verarbeiten. |
Zugriff entziehen
Wenn Sie beim Einrichten des Projekts entsprechende Vorkehrungen getroffen haben, können Sie den Zugriff einer Person mit den folgenden Verfahren effizient widerrufen.
Verwenden Sie Policy Analyzer, um zu bestimmen, auf welche Ressourcen eine Person Zugriff hat. Eine Anleitung finden Sie unter IAM-Richtlinien analysieren.
Nutzerkonto von Ihrem Identitätsanbieter löschen
Wenn der Nutzer Ihre Organisation verlässt und Cloud Identity oder Google Workspace mit Ihrer Identitätsbereitstellung verknüpft haben, kann der Zugriff widerrufen werden.
Informationen zum Löschen von Nutzern der Workforce Identity-Föderation finden Sie unter Nutzer und Daten der Mitarbeiteridentitätsföderation löschen.
Konto in eine andere Gruppe verschieben
Wenn der Nutzer die Rolle ändert, entfernen Sie das Nutzerkonto aus seinen aktuellen Google Groups-Gruppen. Wenn Sie Cloud Identity oder Google Workspace mit Ihrem Identitätsanbieter zur Verwaltung der Gruppenmitgliedschaft verknüpft haben, kann der Zugriff widerrufen werden.
Weitere Informationen finden Sie unter Gruppendetails ansehen und bearbeiten.
Nutzerkonto aus den IAM-Zulassungsrichtlinien entfernen
So entfernen Sie ein Nutzerkonto aus Zulassungsrichtlinien auf Projektebene:
Rufen Sie in der Google Cloud Console die Seite IAM-Berechtigungen auf.
Wählen Sie das Projekt aus, aus dem Sie ein Nutzerkonto entfernen möchten.
Klicken Sie das Kästchen neben der Zeile mit dem Nutzerkonto an, das aus der Mitgliederliste entfernt werden soll, und klicken Sie dann auf Entfernen.
Weitere Informationen zu anderen Orten, an denen die „Zulassen“-Richtlinie festgelegt werden kann, z. B. Ordner, Organisation oder einzelne Ressourcen, finden Sie unter Prüfen, ob Berechtigungen entfernt wurden.
Projektanmeldedaten rotieren
Dienstkontoschlüssel rotieren
Wenn Sie Dienstkontoschlüssel für die Authentifizierung bei einem Dienstkonto verwenden, müssen Sie die Schlüssel rotieren. Überlegen Sie außerdem, ob die Person außerhalb der Google Cloud-Tools Zugriff auf Dienstkontoschlüssel hatte, z. B. auf Ihr Quellcode-Repository oder die Anwendungskonfigurationen.
Rufen Sie in der Google Cloud Console die Seite API-Anmeldedaten auf.
Klicken Sie auf den Namen des Dienstkontos, das Sie ändern möchten.
Klicken Sie auf dem Tab Schlüssel auf Schlüssel hinzufügen.
Klicken Sie auf Neuen Schlüssel erstellen.
Wählen Sie den gewünschten Schlüsseltyp aus. In den meisten Fällen wird JSON empfohlen, aber P12 ist für die Abwärtskompatibilität mit abhängigem Code verfügbar.
Klicken Sie auf Erstellen. Über Ihren Browser wird automatisch eine Datei heruntergeladen, die den neuen Schlüssel enthält. Stellen Sie diesen Schlüssel in allen Anwendungen bereit, die ihn benötigen.
Wenn der neue Schlüssel wie erwartet funktioniert, rufen Sie die Seite "Anmeldedaten" noch einmal auf und löschen den alten mit diesem Dienstkonto verknüpften Schlüssel.
OAuth-Client-ID-Schlüssel rotieren
OAuth-Client-ID-Schlüssel bieten keinen Direktzugriff auf Ihr Projekt. Wenn ein Angreifer jedoch das OAuth-Client-ID-Secret kennt, kann er Ihre Anwendung manipulieren und den Zugriff auf die Google-Konten Ihrer Nutzer von einer schädlichen Anwendung anfordern.
Möglicherweise müssen Sie OAuth-Client-ID-Schlüssel rotieren, wenn die Person, deren Zugriff widerrufen wurde, jemals Zugriff auf das Secret hatte, einschließlich in Ihrem Quellcode-Repository, in den Anwendungskonfigurationen oder über die IAM-Rollen.
Rufen Sie in der Google Cloud Console die Seite API-Anmeldedaten auf.
Klicken Sie auf den Namen der OAuth 2.0.-Client-ID, die Sie ändern möchten.
Klicken Sie auf der Seite Client-ID auf Schlüssel zurücksetzen.
Klicken Sie im Dialogfeld zur Bestätigung auf Zurücksetzen, um das alte Secret umgehend zu widerrufen und ein neues Secret festzulegen. Beachten Sie, dass sich alle aktiven Nutzer bei ihrer nächsten Anfrage neu authentifizieren müssen.
Stellen Sie das neue Secret für alle Anwendungen bereit, die es benötigen.
API-Schlüssel rotieren
API-Schlüssel gewähren zwar keinen Zugriff auf Ihr Projekt oder die Daten Ihrer Nutzer; sie kontrollieren jedoch, wem die API-Anfragen von Google in Rechnung gestellt werden. Ein Nutzerkonto mit Rollen wie „Betrachter“ oder API-Schlüssel-Administrator kann die API-Schlüssel Ihres Projekts sehen. Sollten uneingeschränkte Schlüssel vorhanden sein, müssen Sie diese löschen oder neu generieren, wenn Sie den Zugriff einer Person auf das Projekt widerrufen.
Rufen Sie in der Google Cloud Console die Seite API-Anmeldedaten auf.
Klicken Sie auf den Namen des API-Schlüssels, den Sie ändern möchten.
Klicken Sie auf Schlüssel neu generieren.
Ein Dialogfeld mit dem neu erstellten Schlüssel wird angezeigt. Stellen Sie diesen Schlüssel in allen Anwendungen bereit, die den zu ersetzenden Schlüssel verwenden.
Wenn die Anwendungen mit dem neuen Schlüssel wie erwartet funktionieren, rufen Sie die Seite "Anmeldedaten" erneut auf und löschen den alten uneingeschränkten Schlüssel.
Zugriff auf VMs widerrufen
Wenn die Person, deren Zugriff Sie widerrufen, keinen Login-Zugriff auf eine Ihrer Projekt-VMs hat, können Sie diesen Schritt überspringen.
Entfernen Sie alle SSH-Schlüssel auf Projektebene, auf die diese Person Zugriff hatte.
Entfernen Sie auf jeder VM, auf die diese Person SSH-Zugriff hatte, alle Schlüssel auf Instanzebene.
Entfernen Sie das Konto der Person von allen VMs, auf die sie Anmeldezugriff hatte.
Überprüfen Sie, ob die Person verdächtige Anwendungen installiert hat, die ihr Backdoor-Zugriff auf die VM gewähren könnten. Wenn Sie bezüglich der Sicherheit bestimmter Codes auf der VM Zweifel haben, erstellen Sie die VM neu und stellen Sie die Anwendungen aus dem Quellcode noch einmal bereit.
Überprüfen Sie, ob die Firewall-Einstellungen der VM geändert wurden und von Ihrer geplanten bzw. erwarteten Konfiguration abweichen.
Wenn Sie neue VMs über nutzerdefinierte Basis-Images erstellen, überprüfen Sie, ob an den Basis-Images Änderungen vorgenommen wurden, die die Sicherheit neuer VMs gefährden würden.
Zugriff auf Datenbanken widerrufen
Wenn in Ihrem Projekt keine Cloud SQL- oder AlloyDB for PostgreSQL-Ressourcen verwendet werden, können Sie diesen Schritt überspringen.
So widerrufen Sie den Zugriff auf eine Cloud SQL-Datenbank:
Rufen Sie in der Google Cloud Console die Seite SQL-Instanzen auf.
Klicken Sie auf die Instanz-ID der Datenbank, für die Sie den Zugriff widerrufen möchten.
Klicken Sie im linken Menü auf Verbindungen.
Prüfen Sie, ob die Liste der IP-Adressen unter Autorisierte Netzwerke und die Liste der Apps unter App Engine-Autorisierung wie erwartet aussehen. Wenn die Person, deren Zugriff Sie widerrufen möchten, auf hier aufgeführte Netzwerke oder Anwendungen Zugriff hat, kann sie auf diese Datenbank zugreifen.
Wählen Sie im Menü auf der linken Seite Nutzer aus.
Löschen oder ändern Sie das Passwort für alle Nutzerkonten, auf die die Person Zugriff hatte. Aktualisieren Sie dann auch alle Anwendungen, die von diesen Nutzerkonten abhängen.
Informationen zum Widerrufen des Zugriffs auf eine AlloyDB for PostgreSQL-Datenbank finden Sie unter IAM-Nutzer oder Dienstkonto aus einem Cluster entfernen.
App Engine erneut bereitstellen
Standardmäßig haben App Engine-Anwendungen Zugriff auf ein Dienstkonto, bei dem es sich um einen Bearbeiter des verknüpften Projekts handelt. App Engine-Anfragen-Handler können folgende Aufgaben ausführen: Erstellen neuer VMs und Lesen oder Ändern von Daten in Cloud Storage. Eine Person mit der Fähigkeit, Code auf der App Engine bereitzustellen, kann mit diesem Dienstkonto eine Backdoor zu Ihrem Projekt öffnen. Wenn Sie Zweifel bezüglich der Code-Integrität Ihrer bereitgestellten Apps haben, sollten Sie diese (und alle zugehörigen Module) mit einem als funktionierend bekannten Image aus dem Versionskontrollsystem noch einmal bereitstellen.
Prüfen, ob Berechtigungen entfernt wurden
Sie können Berechtigungen auf Organisations- oder Projektebene oder mit dem Richtlinienanalysator prüfen.
Wenn Sie Ressourcen finden möchten, auf die ein bestimmter Nutzer auf Organisationsebene Zugriff haben könnte, verwenden Sie die Methode search-all-iam-policies in der Google Cloud CLI. Führen Sie beispielsweise Folgendes aus, um festzustellen, ob ein Nutzer Zugriff auf Ihre Ressourcen hat:
gcloud asset search-all-iam-policies --scope='organizations/ORGANIZATION_ID --query='policy:IDENTITY'
Wobei:
ORGANIZATION_IDist die Nummer Ihrer Organisation.IDENTITYist die Identität des Nutzers, z. B. eine E-Mail-Adresse.
Informationen zum Prüfen der Berechtigungen für ein Projekt finden Sie unter Berechtigungen eines Hauptkontos für ein Projekt.
Wie Sie Berechtigungen mit Policy Analyzer prüfen, erfahren Sie unter Feststellen, auf welche Ressourcen ein Hauptkonto zugreifen kann.
Nächste Schritte
Weitere Informationen finden Sie unter Umgang mit manipulierten Google Cloud Anmeldedaten.
Best Practices zum Schutz vor kompromittierten OAuth-Tokens für die Google Cloud CLI.
Erstellen Sie eine Ablehnungsrichtlinie, um anzugeben, auf welche Berechtigungen der Nutzer nicht mehr zugreifen kann.