Lineamientos de autenticación y autorización

Decide cuál será tu fuente de información para aprovisionar identidades de usuario administradas. Los patrones incluyen la creación de identidades de usuario en Cloud Identity, la sincronización de identidades desde un proveedor de identidad existente o el uso de la federación de identidades de personal.

No tener un solo administrador avanzado o administrador de la organización Crea una o más cuentas de administrador secundario (hasta 20). Un solo administrador avanzado o administrador de la organización puede generar situaciones de bloqueo. Esta situación también conlleva un mayor riesgo, ya que una persona puede realizar cambios que alteren la plataforma, posiblemente sin supervisión.

Exige contraseñas seguras y únicas para todas las cuentas de usuario. Considera usar un administrador de contraseñas. Las credenciales débiles o inexistentes son un patrón común que los usuarios maliciosos pueden aprovechar fácilmente.

Usa roles de Identity and Access Management (IAM) basados en las funciones laborales para asignar permisos a los usuarios. Las funciones laborales son roles predefinidos que permiten a los administradores proporcionar un conjunto de permisos limitados a una función laboral, lo que mejora la productividad y reduce las idas y vueltas para solicitar permisos. Para alinearte mejor con los requisitos de tu organización, puedes crear roles personalizados basados en roles predefinidos.

Usa la restricción booleana iam.disableServiceAccountKeyCreation para inhabilitar la creación de claves de cuentas de servicio externas. Esta restricción te permite controlar el uso de credenciales a largo plazo no administradas para las cuentas de servicio. Cuando se establece esta restricción, no puedes crear credenciales administradas por el usuario para las cuentas de servicio en los proyectos afectados por la restricción.

Establece políticas para toda la organización para evitar que se agreguen miembros externos a los Grupos de Google.

De forma predeterminada, las cuentas de usuario externas se pueden agregar a los grupos en Cloud Identity. Te recomendamos que configures el uso compartido para que los propietarios de grupos no puedan agregar miembros externos.

Ten en cuenta que esta restricción no se aplica a la cuenta de administrador avanzado ni a otros administradores delegados con permisos de administrador de Grupos de Google. Debido a que la federación de tu proveedor de identidad se ejecuta con privilegios de administrador, la configuración de uso compartido de grupos no se aplica a esta sincronización de grupo. Te recomendamos que revises los controles en el proveedor de identidad y el mecanismo de sincronización para asegurarte de que los miembros que no son de dominio se agreguen a grupos o que apliques restricciones de grupo.

Establece la duración de la sesión para que los servicios de Google Cloud vencen al menos una vez al día. Dejar una cuenta abierta durante un período prolongado es un riesgo de seguridad. Aplicar una duración máxima de la sesión finaliza automáticamente la sesión después de un tiempo determinado, lo que obliga a un nuevo acceso seguro.

Esta práctica reduce la posibilidad de que un usuario malicioso use una contraseña robada y garantiza que el acceso se vuelva a verificar periódicamente.

No permitas cuentas personales no administradas. Consolida las cuentas personales no administradas y considera una solución para evitar la creación de más cuentas personales no administradas con tu dominio.

Las cuentas personales no administradas no se rigen por los procesos de incorporación, traslado y baja (JML) de tu empresa, por lo que existe el riesgo de que un empleado siga teniendo acceso a tus recursos después de dejar su trabajo. Estas cuentas también se consideran externas en relación con los controles, como el uso compartido restringido del dominio.

Asegúrate de que las cuentas de administrador avanzado estén separadas de las cuentas de usuario diarias. Las cuentas de administrador avanzado deben ser cuentas exclusivas que se usen solo cuando se realicen cambios importantes. Para aumentar la seguridad, activa la aprobación de varias partes para las acciones de administrador. Activar la aprobación de varias partes significa que dos administradores aprueban las acciones sensibles, lo que ayuda a evitar que los atacantes pongan en riesgo una cuenta de administrador y bloqueen a otros usuarios administradores.

Habilita la autenticación de varios factores (MFA), también conocida como autenticación en 2 pasos (2SV), para todos los usuarios de Cuentas de Google y Cloud Identity, no solo para los administradores avanzados. La MFA para administradores avanzados está habilitada de forma predeterminada. La MFA agrega otra capa de defensa porque las contraseñas por sí solas no suelen ser una medida de seguridad lo suficientemente sólida.

Quita las funciones de creador de proyectos y creador de cuentas de facturación en todo el dominio que se otorgan de forma predeterminada a todos los miembros de una organización nueva.

Las organizaciones nuevas otorgan los roles de Creador de proyectos y Creador de cuentas de facturación a todas las identidades de usuario administradas en el dominio. Si bien estos roles son útiles para comenzar, esta configuración no está diseñada para entornos de producción. Permitir que proliferen las cuentas de facturación genera una mayor sobrecarga administrativa y tiene consecuencias técnicas cuando los servicios se dividen en varias cuentas de facturación. Permitir la creación de proyectos de formato libre puede generar proyectos que no se ajusten a tus convenciones de administración.

En cambio, quita estos roles y establece un proceso de creación de proyectos para solicitar proyectos nuevos y asociarlos con la facturación.

Usa Privileged Access Manager para administrar el acceso con privilegios. Para todos los demás accesos, usa grupos de acceso, permite que las membresías de los grupos venzan automáticamente y, luego, implementa un flujo de trabajo de aprobación para las membresías de los grupos.

Usar el modelo de privilegio mínimo te permite proporcionar acceso solo cuando sea necesario y a los recursos que se necesiten. El uso de roles prediseñados simplifica el uso y reduce la expansión causada por los roles personalizados, por lo que no tienes que preocuparte por administrar el ciclo de vida de los roles.

Usa la restricción booleana automaticIamGrantsForDefaultServiceAccounts para inhabilitar las asignaciones de roles automáticas cuando los servicios de Google Cloud crean automáticamente cuentas de servicio predeterminadas con roles demasiado permisivos.

De forma predeterminada, algunos sistemas otorgan permisos demasiado amplios a las cuentas automatizadas, lo que representa un posible riesgo de seguridad. Por ejemplo, si no aplicas esta restricción y creas una cuenta de servicio predeterminada, se le otorgará automáticamente el rol de editor (roles/editor) en tu proyecto. Si un atacante compromete una sola parte del sistema, podría obtener el control de todo el proyecto. Esta restricción inhabilita esos permisos automáticos de alto nivel, lo que obliga a adoptar un enfoque más seguro y deliberado en el que solo se otorgan los permisos mínimos necesarios.

Si debes usar claves de cuentas de servicio, rótalas al menos una vez cada 90 días.

Un intervalo de rotación limita el tiempo que un atacante puede tener acceso al sistema. Sin un intervalo de rotación, el atacante tendrá acceso para siempre. Cuando sea posible, considera usar la federación de identidades para cargas de trabajo en lugar de las claves de cuenta de servicio.

Usa la federación de identidades para cargas de trabajo para permitir que los sistemas y las cargas de trabajo de CI/CD que se ejecutan en otras nubes se autentiquen en Google Cloud. La federación de Workload Identity permite que las cargas de trabajo que se ejecutan fuera de Google Cloud se autentiquen sin necesidad de una clave de cuenta de servicio. Al evitar las claves de cuentas de servicio y otras credenciales de larga duración, la federación de identidades para cargas de trabajo puede ayudarte a reducir el riesgo de filtración de credenciales.

De forma predeterminada, la recuperación automática de la cuenta de administrador avanzado está desactivada para los clientes nuevos. Sin embargo, es posible que los clientes existentes tengan activado este parámetro de configuración. Desactivar este parámetro de configuración ayuda a mitigar el riesgo de que un teléfono vulnerado, un correo electrónico vulnerado o un ataque de ingeniería social puedan permitir que un atacante obtenga privilegios de administrador avanzado en tu entorno.

Planifica un proceso interno para que un administrador avanzado se comunique con otro administrador avanzado de tu organización si perdió el acceso a su cuenta y asegúrate de que todos los administradores avanzados estén familiarizados con el proceso para la recuperación con ayuda del equipo de asistencia.

Para desactivar la función, ve a la configuración de recuperación de la cuenta en la Consola del administrador de Google.

Establece el tiempo de espera de sesión inactiva en 15 minutos para los casos de uso sensibles. Los atacantes pueden usar las sesiones inactivas para robar credenciales.

Si es posible, proporciona llaves de seguridad de hardware a los administradores avanzados o administradores de la organización como segundo factor. Las cuentas de administrador avanzado son los objetivos más valiosos para los ataques sofisticados. Las llaves de seguridad de hardware proporcionan un alto nivel de protección porque son resistentes al phishing. Las llaves de seguridad de hardware son la defensa más sólida posible contra la apropiación de cuentas para tus administradores más importantes y se basan en tu política estándar de MFA.

Si usas un proveedor de identidad externo, configura la verificación posterior al SSO.

Habilita una capa de control adicional según el análisis de riesgos de acceso de Google. Después de aplicar este parámetro de configuración, es posible que los usuarios vean desafíos de acceso adicionales basados en el riesgo durante el acceso si Google determina que el acceso de los usuarios es sospechoso.

Habilita las políticas de límite de acceso de las principales (PAB) para limitar el acceso de las principales y ayudar a proteger contra el phishing y el robo de datos. Habilita una política de límite para la organización y, así, evitar ataques de phishing externos. Los límites de acceso de la entidad principal mejoran la seguridad, ya que reducen el alcance de un ataque con una identidad vulnerada y también ayudan a evitar ataques externos de phishing y otros ataques de exfiltración.