Richtlinien für Authentifizierung und Autorisierung

Legen Sie die zentrale Datenquelle für die Bereitstellung verwalteter Nutzeridentitäten fest. Zu den Mustern gehören das Erstellen von Nutzeridentitäten in Cloud Identity, das Synchronisieren von Identitäten von einem vorhandenen Identitätsanbieter oder die Verwendung der Mitarbeiteridentitätsföderation.

Es gibt keinen einzelnen Super Admin oder Organisationsadministrator. Erstellen Sie ein oder mehrere (bis zu 20) zusätzliche Administratorkonten. Wenn es nur einen Super Admin oder Organisationsadministrator gibt, kann es zu Aussperrungen kommen. Diese Situation birgt auch ein höheres Risiko, da eine Person plattformverändernde Änderungen vornehmen kann, möglicherweise ohne Aufsicht.

Erzwingen Sie starke und eindeutige Passwörter für alle Nutzerkonten. Verwenden Sie einen Passwortmanager. Schwache oder fehlende Anmeldedaten sind ein häufiges Muster, das böswillige Nutzer leicht ausnutzen können.

Verwenden Sie IAM-Rollen (Identity and Access Management), die auf Jobfunktionen basieren, um Nutzern Berechtigungen zuzuweisen. Jobfunktionen sind vordefinierte Rollen, mit denen Administratoren eine Reihe von Berechtigungen bereitstellen können, die auf eine Jobfunktion beschränkt sind. So wird die Produktivität gesteigert und der Aufwand für das Anfordern von Berechtigungen verringert. Um die Anforderungen Ihrer Organisation besser zu erfüllen, können Sie benutzerdefinierte Rollen auf Grundlage vordefinierter Rollen erstellen.

Mit der booleschen Einschränkung iam.disableServiceAccountKeyCreation können Sie verhindern, dass externe Dienstkontoschlüssel erstellt werden. Mit dieser Einschränkung können Sie die Verwendung von nicht verwalteten, langfristigen Anmeldedaten für Dienstkonten steuern. Wenn diese Einschränkung festgelegt ist, können Sie keine von Nutzern verwalteten Anmeldedaten für Dienstkonten in Projekten erstellen, die von der Einschränkung betroffen sind.

Organisationsweite Richtlinien festlegen, um zu verhindern, dass externe Mitglieder zu Google-Gruppen hinzugefügt werden

Standardmäßig können externe Nutzerkonten zu Gruppen in Cloud Identity hinzugefügt werden. Wir empfehlen, die Freigabe-Einstellungen so zu konfigurieren, dass Gruppeninhaber keine externen Mitglieder hinzufügen können.

Hinweis: Diese Einschränkung gilt nicht für das Super Admin-Konto oder andere delegierte Administratoren mit Google Groups-Administratorberechtigungen. Da die Föderation von Ihrem Identitätsanbieter mit Administratorberechtigungen ausgeführt wird, gelten die Einstellungen für die Gruppenfreigabe nicht für diese Gruppensynchronisierung. Wir empfehlen Ihnen, die Steuerelemente beim Identitätsanbieter und im Synchronisierungsmechanismus zu prüfen, um sicherzustellen, dass Mitglieder, die nicht zur Domain gehören, nicht zu Gruppen hinzugefügt werden, oder Gruppeneinschränkungen anzuwenden.

Legen Sie die Sitzungsdauer für Google Cloud -Dienste so fest, dass sie mindestens einmal täglich abläuft. Wenn ein Konto über einen längeren Zeitraum angemeldet bleibt, stellt dies ein Sicherheitsrisiko dar. Wenn Sie eine maximale Sitzungsdauer erzwingen, wird die Sitzung nach einer bestimmten Zeit automatisch beendet und eine neue, sichere Anmeldung wird erzwungen.

So wird die Wahrscheinlichkeit verringert, dass ein böswilliger Nutzer ein gestohlenes Passwort verwendet, und der Zugriff wird regelmäßig neu überprüft.

Nicht verwaltete Privatnutzerkonten nicht zulassen. Konsolidieren Sie alle nicht verwalteten Privatnutzerkonten und überlegen Sie sich eine Lösung, um die Erstellung weiterer nicht verwalteter Privatnutzerkonten mit Ihrer Domain zu verhindern.

Nicht verwaltete Privatnutzerkonten unterliegen nicht Ihren Prozessen für neue, wechselnde und ausscheidende Mitarbeiter. Daher besteht das Risiko, dass ein Mitarbeiter nach seinem Ausscheiden weiterhin Zugriff auf Ihre Ressourcen hat. Diese Konten werden auch in Bezug auf Steuerelemente wie die domaineingeschränkte Freigabe als extern behandelt.

Super Admin-Konten sollten von den Nutzerkonten für den täglichen Gebrauch getrennt sein. Super Admin-Konten müssen dedizierte Konten sein, die nur für wichtige Änderungen verwendet werden. Aktivieren Sie die Genehmigung durch mehrere Parteien für Administratoraktionen, um die Sicherheit zu erhöhen. Wenn Sie die Genehmigung durch mehrere Parteien aktivieren, werden sensible Aktionen von zwei Administratoren genehmigt. So wird verhindert, dass Angreifer ein Administratorkonto kompromittieren und andere Administratoren aussperren.

Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA), auch 2‑Faktor-Authentifizierung (2FA) genannt, für alle Google-Konten und Cloud Identity-Nutzer, nicht nur für Super Admins. Die 2‑Faktor-Authentifizierung für Super Admins ist standardmäßig aktiviert. Die MFA bietet eine zusätzliche Sicherheitsebene, da Passwörter allein oft nicht ausreichen.

Entfernen Sie die domainweiten Rollen „Projektersteller“ und „Rechnungskontoersteller“, die standardmäßig allen Mitgliedern einer neuen Organisation zugewiesen werden.

In neuen Organisationen werden allen verwalteten Nutzeridentitäten in der Domain die Rollen „Projektersteller“ und „Rechnungskontoersteller“ zugewiesen. Diese Rollen sind zwar nützlich für den Einstieg, diese Konfiguration ist jedoch nicht für Produktionsumgebungen vorgesehen. Wenn sich Abrechnungskonten vermehren, führt das zu einem erhöhten Verwaltungsaufwand und hat technische Folgen, wenn Dienste auf mehrere Abrechnungskonten aufgeteilt werden. Wenn Sie die kostenlose Projekterstellung zulassen, kann es zu Projekten kommen, die nicht Ihren Governance-Konventionen entsprechen.

Entfernen Sie stattdessen diese Rollen und richten Sie einen Prozess zum Erstellen von Projekten ein, um neue Projekte anzufordern und sie mit der Abrechnung zu verknüpfen.

Verwenden Sie Privileged Access Manager, um privilegierten Zugriff zu verwalten. Verwenden Sie für alle anderen Zugriffe Zugriffsgruppen, lassen Sie Gruppenmitgliedschaften automatisch ablaufen und implementieren Sie einen Genehmigungsworkflow für Gruppenmitgliedschaften.

Wenn Sie das Modell der geringsten Berechtigung verwenden, können Sie nur bei Bedarf Zugriff auf die benötigten Ressourcen gewähren. Die Verwendung vordefinierter Rollen vereinfacht die Nutzung und reduziert die durch benutzerdefinierte Rollen verursachte Ausweitung, sodass Sie sich nicht um die Verwaltung des Rollenlebenszyklus kümmern müssen.

Verwenden Sie die boolesche Einschränkung automaticIamGrantsForDefaultServiceAccounts, um automatische Rollenzuweisungen zu deaktivieren, wenn Google Cloud Dienste automatisch Standarddienstkonten mit zu umfangreichen Rollen erstellen.

Standardmäßig gewähren einige Systeme automatisierten Konten zu weitreichende Berechtigungen, was ein potenzielles Sicherheitsrisiko darstellt. Wenn Sie diese Einschränkung beispielsweise nicht erzwingen und ein Standarddienstkonto erstellen, erhält das Dienstkonto automatisch die Rolle „Bearbeiter“ (roles/editor) für Ihr Projekt. Wenn ein Angreifer einen einzelnen Teil des Systems manipuliert, kann er die Kontrolle über das gesamte Projekt erlangen. Diese Einschränkung deaktiviert die automatischen Berechtigungen auf hoher Ebene und erzwingt einen sichereren, bewussten Ansatz, bei dem nur die minimal erforderlichen Berechtigungen gewährt werden.

Wenn Sie Dienstkontoschlüssel verwenden müssen, rotieren Sie die Schlüssel mindestens alle 90 Tage.

Ein Rotationsintervall begrenzt, wie lange ein Angreifer Zugriff auf das System haben kann. Ohne Rotationsintervall hat der Angreifer dauerhaft Zugriff. Verwenden Sie nach Möglichkeit die Workload Identity-Föderation anstelle von Dienstkontoschlüsseln.

Mit Workload Identity-Föderation können sich CI/CD-Systeme und Arbeitslasten, die in anderen Clouds ausgeführt werden, bei Google Cloudauthentifizieren. Mit der Workload Identity-Föderation können sich Arbeitslasten, die außerhalb von Google Cloud ausgeführt werden, authentifizieren, ohne dass ein Dienstkontoschlüssel erforderlich ist. Wenn Sie Dienstkontoschlüssel und andere langlebige Anmeldedaten vermeiden, kann die Identitätsföderation von Arbeitslasten dazu beitragen, das Risiko von Anmeldedatenlecks zu verringern.

Die eigenständige Kontowiederherstellung durch Super Admins ist für neue Kunden standardmäßig deaktiviert. Bestehende Kunden haben diese Einstellung möglicherweise aktiviert. Durch das Deaktivieren dieser Einstellung verringern Sie das Risiko, dass ein manipuliertes Telefon, ein manipuliertes E-Mail-Konto oder ein Social Engineering-Angriff Angreifern in Ihrer Umgebung Super Admin-Berechtigungen gewähren kann.

Planen Sie einen internen Prozess, damit ein Super Admin einen anderen Super Admin in Ihrer Organisation kontaktieren kann, wenn er keinen Zugriff mehr auf sein Konto hat. Sorgen Sie außerdem dafür, dass alle Super Admins mit dem Prozess für die supportgestützte Wiederherstellung vertraut sind.

Wenn Sie die Funktion deaktivieren möchten, rufen Sie in der Admin-Konsole die Einstellungen zur Kontowiederherstellung auf.

Legen Sie das Zeitlimit für Inaktivitätssitzungen für sensible Anwendungsfälle auf 15 Minuten fest. Inaktive Sitzungen können von Angreifern zum Diebstahl von Anmeldedaten verwendet werden.

Stellen Sie Super Admins oder Organisationsadministratoren nach Möglichkeit Hardwaresicherheitsschlüssel als zweiten Faktor zur Verfügung. Super Admin-Konten sind die wertvollsten Ziele für ausgeklügelte Angriffe. Hardware-Sicherheitsschlüssel bieten ein hohes Maß an Schutz, da sie Phishing-resistent sind. Hardware-Sicherheitsschlüssel bieten den bestmöglichen Schutz vor Kontoübernahmen für Ihre wichtigsten Administratoren und bauen auf Ihrer Standardrichtlinie für die Bestätigung in zwei Schritten auf.

Wenn Sie einen externen Identitätsanbieter verwenden, richten Sie die Post-SSO-Prüfung ein.

Aktivieren Sie eine zusätzliche Steuerungsebene, die auf der Risikoanalyse für das Google-Log-in basiert. Nachdem Sie diese Einstellung angewendet haben, können Nutzer bei der Anmeldung zusätzliche risikoabhängige Identitätsbestätigungen sehen, wenn Google der Meinung ist, dass eine Nutzeranmeldung verdächtig ist.

Aktivieren Sie Principal Access Boundary-Richtlinien (PAB), um den Zugriff von Identitäten einzuschränken und sich vor Phishing und Daten-Exfiltration zu schützen. Aktivieren Sie eine Grenzrichtlinie für die Organisation, um externe Phishing-Angriffe zu vermeiden. Durch die Zugriffsgrenzen für Identitäten wird die Sicherheit verbessert, da das Ausmaß eines Angriffs mit einer manipulierten Identität verringert wird. Außerdem wird so verhindert, dass externe Phishing- und andere Exfiltrationsangriffe stattfinden.