Consignes d'authentification et d'autorisation

Choisissez votre source fiable pour le provisionnement des identités des utilisateurs gérés. Les modèles incluent la création d'identités utilisateur dans Cloud Identity, la synchronisation des identités à partir d'un fournisseur d'identité existant ou l'utilisation de la fédération d'identité du personnel.

Vous ne disposez pas d'un seul super-administrateur ni d'un seul administrateur de l'organisation. Créez un ou plusieurs comptes administrateur de secours (20 au maximum). Un seul super-administrateur ou administrateur de l'organisation peut entraîner des scénarios de verrouillage. Cette situation présente également un risque plus élevé, car une seule personne peut apporter des modifications à la plate-forme, potentiellement sans surveillance.

Appliquez des mots de passe uniques et sécurisés pour tous les comptes utilisateur. Envisagez d'utiliser un gestionnaire de mots de passe. Les identifiants faibles ou inexistants sont un schéma courant que les utilisateurs malveillants peuvent facilement exploiter.

Utilisez des rôles IAM (Identity and Access Management) basés sur les fonctions professionnelles pour attribuer des autorisations aux utilisateurs. Les fonctions sont des rôles prédéfinis qui permettent aux administrateurs de fournir un ensemble d'autorisations limitées à une fonction, ce qui améliore la productivité et réduit les allers-retours pour demander des autorisations. Pour mieux répondre aux exigences de votre organisation, vous pouvez créer des rôles personnalisés à partir de rôles prédéfinis.

Utilisez la contrainte booléenne iam.disableServiceAccountKeyCreation pour désactiver la création de clés de compte de service externes. Cette contrainte vous permet de contrôler l'utilisation des identifiants à long terme non gérés pour les comptes de service. Lorsque cette contrainte est définie, vous ne pouvez pas créer d'identifiants gérés par l'utilisateur pour les comptes de service dans les projets affectés par la contrainte.

Définissez des règles à l'échelle de l'organisation pour empêcher l'ajout de membres externes à des groupes Google.

Par défaut, les comptes utilisateur externes peuvent être ajoutés aux groupes dans Cloud Identity. Nous vous recommandons de configurer les paramètres de partage afin que les propriétaires de groupe ne puissent pas ajouter de membres externes.

Notez que cette restriction ne s'applique pas au compte super-administrateur ni aux autres administrateurs délégués disposant d'autorisations d'administrateur Google Groupes. Étant donné que la fédération de votre fournisseur d'identité s'exécute avec des droits d'administrateur, les paramètres de partage de groupe ne s'appliquent pas à cette synchronisation de groupe. Nous vous recommandons de vérifier les contrôles du fournisseur d'identité et du mécanisme de synchronisation pour vous assurer que les membres externes au domaine ne sont pas ajoutés aux groupes ou pour appliquer des restrictions de groupe.

Définissez la durée de session pour les services Google Cloud afin qu'elle expire au moins une fois par jour. Laisser un compte connecté pendant une longue période présente un risque pour la sécurité. L'application d'une durée de session maximale met automatiquement fin à la session après un certain temps, ce qui oblige l'utilisateur à se reconnecter de manière sécurisée.

Cette pratique réduit les chances qu'un utilisateur malveillant utilise un mot de passe volé et garantit que l'accès est régulièrement revérifié.

N'autorisez pas les comptes personnels non gérés. Regroupez tous les comptes personnels non gérés et envisagez une solution pour empêcher la création d'autres comptes personnels non gérés avec votre domaine.

Les comptes personnels non gérés ne sont pas soumis à vos processus JML (Joiner-Mover-Leaver). Ils présentent donc le risque qu'un employé ait toujours accès à vos ressources après avoir quitté son poste. Ces comptes sont également traités comme externes en ce qui concerne les contrôles tels que le partage restreint de domaine.

Assurez-vous que les comptes super-administrateur sont distincts des comptes utilisateur quotidiens. Les comptes super-administrateur doivent être des comptes dédiés qui ne sont utilisés que pour apporter des modifications importantes. Pour renforcer la sécurité, activez l'approbation multipartite pour les actions d'administration. L'activation de l'approbation multipartite signifie que les actions sensibles sont approuvées par deux administrateurs. Cela permet d'empêcher les pirates informatiques de compromettre un compte administrateur et de bloquer l'accès aux autres administrateurs.

Activez l'authentification multifacteur (MFA), également appelée validation en deux étapes (2SV), pour tous les utilisateurs de comptes Google et Cloud Identity, et pas seulement pour les super-administrateurs. L'MFA pour les super-administrateurs est activée par défaut. L'MFA ajoute une couche de protection supplémentaire, car les mots de passe seuls ne constituent souvent pas une mesure de sécurité suffisamment efficace.

Supprimez les rôles de créateur de projet et de créateur de compte de facturation à l'échelle du domaine qui sont attribués par défaut à tous les membres d'une nouvelle organisation.

Les nouvelles organisations accordent les rôles de créateur de projet et de créateur de compte de facturation à toutes les identités utilisateur gérées du domaine. Bien que ces rôles soient utiles pour commencer, cette configuration n'est pas destinée aux environnements de production. La prolifération des comptes de facturation entraîne une augmentation des frais administratifs et a des conséquences techniques lorsque les services sont répartis sur plusieurs comptes de facturation. Si vous autorisez la création de projets en mode forme libre, vous risquez d'obtenir des projets qui ne respectent pas vos conventions de gouvernance.

Supprimez plutôt ces rôles et établissez un processus de création de projets pour demander de nouveaux projets et les associer à la facturation.

Utilisez Privileged Access Manager pour gérer les accès privilégiés. Pour tous les autres accès, utilisez des groupes d'accès, laissez les abonnements aux groupes expirer automatiquement et mettez en place un workflow d'approbation pour les abonnements aux groupes.

Le modèle du moindre privilège vous permet de n'accorder l'accès qu'aux ressources nécessaires, et uniquement lorsque cela est nécessaire. L'utilisation de rôles prédéfinis simplifie l'utilisation et réduit l'expansion causée par les rôles personnalisés. Vous n'avez donc pas à vous soucier de la gestion du cycle de vie des rôles.

Utilisez la contrainte booléenne automaticIamGrantsForDefaultServiceAccounts pour désactiver l'attribution automatique de rôles lorsque les services Google Cloud créent automatiquement des comptes de service par défaut avec des rôles trop permissifs.

Par défaut, certains systèmes accordent des autorisations trop larges aux comptes automatisés, ce qui constitue un risque de sécurité potentiel. Par exemple, si vous n'appliquez pas cette contrainte et que vous créez un compte de service par défaut, le rôle Éditeur (roles/editor) lui est automatiquement attribué sur votre projet. Si un pirate informatique parvient à compromettre une seule partie du système, il peut prendre le contrôle de l'ensemble du projet. Cette contrainte désactive ces autorisations automatiques de haut niveau, ce qui impose une approche plus sécurisée et délibérée où seules les autorisations minimales nécessaires sont accordées.

Si vous devez utiliser des clés de compte de service, alternez-les au moins une fois tous les 90 jours.

Un intervalle de rotation limite la durée pendant laquelle un pirate informatique peut avoir accès au système. Sans intervalle de rotation, l'attaquant a un accès permanent. Si possible, envisagez d'utiliser la fédération d'identité de charge de travail au lieu des clés de compte de service.

Utilisez la fédération d'identité de charge de travail pour permettre aux systèmes CI/CD et aux charges de travail exécutées sur d'autres clouds de s'authentifier auprès de Google Cloud. La fédération d'identité de charge de travail permet aux charges de travail exécutées en dehors de Google Cloud de s'authentifier sans avoir besoin d'une clé de compte de service. En évitant les clés de compte de service et les autres identifiants de longue durée, la fédération d'identité de charge de travail peut vous aider à réduire le risque de fuite d'identifiants.

Par défaut, l'autorécupération de compte super-administrateur est désactivée pour les nouveaux clients. Toutefois, il est possible que les clients existants aient activé ce paramètre. La désactivation de ce paramètre permet de limiter le risque qu'un téléphone compromis, une adresse e-mail compromise ou une attaque par ingénierie sociale puisse permettre à un pirate informatique d'obtenir des droits de super-administrateur sur votre environnement.

Planifiez un processus interne pour un super-administrateur afin de contacter un autre super-administrateur de votre organisation s'il a perdu l'accès à son compte, et assurez-vous que tous les super-administrateurs sont familiarisés avec le processus de récupération assistée.

Pour désactiver cette fonctionnalité, accédez aux paramètres de récupération de compte dans la console d'administration Google.

Définissez le délai d'inactivité de la session sur 15 minutes pour les cas d'utilisation sensibles. Les pirates informatiques peuvent utiliser les sessions inactives pour voler des identifiants.

Si possible, fournissez des clés de sécurité matérielles aux super-administrateurs ou aux administrateurs de l'organisation comme deuxième facteur. Les comptes de super-administrateur sont les cibles les plus intéressantes pour les attaques sophistiquées. Les clés de sécurité matérielles offrent un niveau de protection élevé, car elles résistent à l'hameçonnage. Les clés de sécurité matérielles constituent la protection la plus efficace possible contre la piratage de compte pour vos administrateurs les plus importants. Elles s'appuient sur votre règle d'authentification MFA standard.

Si vous utilisez un fournisseur d'identité externe, configurez la validation post-authentification unique.

Activez un niveau de contrôle supplémentaire basé sur l'analyse des risques de connexion Google. Après l'application de ce paramètre, les utilisateurs peuvent voir des questions d'authentification en cas de risque de sécurité supplémentaires lors de la connexion, si Google estime qu'elle est suspecte.

Activez les stratégies de limites d'accès des comptes principaux pour limiter l'accès des comptes principaux et vous protéger contre le hameçonnage et l'exfiltration de données. Activez une règle de périmètre pour l'organisation afin d'éviter les attaques de hameçonnage externes. Les limites d'accès des principaux améliorent la sécurité en réduisant l'ampleur d'une attaque avec une identité compromise. Elles permettent également d'empêcher les attaques par hameçonnage externes et les autres attaques d'exfiltration.