הנחיות לגבי אימות והרשאה

מחליטים מה יהיה מקור המהימנות להקצאת הרשאות לזהויות של חשבונות מנוהלים. הדוגמאות כוללות יצירת זהויות משתמשים ב-Cloud Identity, סנכרון זהויות מספק זהויות קיים או שימוש באיחוד שירותי אימות הזהות של כוח העבודה.

אין סופר-אדמין או אדמין ארגוני יחיד. יוצרים חשבון אדמין אחד או יותר (עד 20) לגיבוי. סופר-אדמין יחיד או אדמין ארגוני יחיד עלולים לגרום לתרחישי נעילה. במצב כזה יש גם סיכון גבוה יותר, כי אדם אחד יכול לבצע שינויים בפלטפורמה, בלי פיקוח.

אוכפים סיסמאות חזקות וייחודיות לכל חשבונות המשתמשים. כדאי להשתמש במנהל סיסמאות. פרטי כניסה חלשים או היעדר פרטי כניסה הם דפוס נפוץ שמשתמשים זדוניים יכולים לנצל בקלות.

כדי להקצות הרשאות למשתמשים, משתמשים בתפקידים של ניהול זהויות והרשאות גישה (IAM) שמבוססים על פונקציות של משימות. תפקידים לפי תחומי אחריות הם תפקידים שמוגדרים מראש ומאפשרים לאדמינים לספק קבוצת הרשאות שמוגבלת לתחום אחריות מסוים. כך הם יכולים לשפר את הפרודוקטיביות ולצמצם את הצורך בהתכתבות כדי לבקש הרשאות. כדי להתאים את התפקידים לדרישות של הארגון, אתם יכולים ליצור תפקידים בהתאמה אישית שמבוססים על תפקידים מוגדרים מראש.

משתמשים באילוץ הבוליאני iam.disableServiceAccountKeyCreation כדי להשבית את האפשרות ליצור מפתחות חיצוניים של חשבונות שירות. ההגבלה הזו מאפשרת לכם לשלוט בשימוש בפרטי כניסה לא מנוהלים לטווח ארוך לחשבונות שירות. כשההגבלה הזו מוגדרת, אי אפשר ליצור פרטי כניסה של חשבונות שירות בניהול המשתמשים בפרויקטים שמושפעים מההגבלה.

הגדרת מדיניות לכל הארגון כדי למנוע הוספה של חברים חיצוניים לקבוצות Google.

כברירת מחדל, אפשר להוסיף חשבונות של משתמשים חיצוניים לקבוצות ב-Cloud Identity. מומלץ להגדיר את הגדרות השיתוף כך שבעלי הקבוצות לא יוכלו להוסיף חברים חיצוניים.

ההגבלה הזו לא חלה על חשבון הסופר-אדמין או על אדמינים מורשים אחרים עם הרשאות אדמין ב-קבוצות Google. בגלל שהפדרציה מספק הזהויות שלכם פועלת עם הרשאות אדמין, הגדרות השיתוף של הקבוצה לא חלות על סנכרון הקבוצה הזה. מומלץ לבדוק את אמצעי הבקרה בספק הזהויות ובמנגנון הסנכרון כדי לוודא שמשתמשים שלא שייכים לדומיין לא יתווספו לקבוצות, או להחיל הגבלות על הקבוצות.

הגדרת אורך הסשן לשירותים כך שתוקף הסשן יפוג לפחות פעם ביום. Google Cloud השארת חשבון מחובר למשך תקופה ארוכה היא סיכון אבטחה. הגדרת משך סשן מקסימלי גורמת לסיום אוטומטי של הסשן אחרי פרק זמן מוגדר, ומחייבת כניסה מאובטחת חדשה.

השיטה הזו מקטינה את הסיכוי שמשתמש זדוני ישתמש בסיסמה גנובה, ומבטיחה שהגישה תאומת מחדש באופן קבוע.

אסור לאפשר שימוש בחשבונות צרכניים לא מנוהלים. כדאי לאחד את כל החשבונות הפרטיים הלא מנוהלים, ולשקול פתרון שימנע יצירה של חשבונות פרטיים לא מנוהלים נוספים בדומיין שלכם.

חשבונות לקוחות לא מנוהלים לא כפופים לתהליכי הצטרפות, מעבר ועזיבה (JML), ולכן הם יוצרים סיכון לכך שלעובד עדיין תהיה גישה למשאבים שלכם אחרי שהוא יעזוב את העבודה. החשבונות האלה נחשבים גם כחיצוניים מבחינת אמצעי בקרה כמו הגבלת השיתוף בדומיין.

חשוב לוודא שחשבונות סופר-אדמין נפרדים מחשבונות משתמשים לשימוש יומיומי. חשבונות סופר-אדמין צריכים להיות חשבונות ייעודיים שמשמשים רק לביצוע שינויים חשובים. כדי להגביר את האבטחה, מומלץ להפעיל קבלת אישור ממספר משתמשים לפעולות אדמין. הפעלת MPA מחייבת אישור של שני אדמינים כדי לבצע פעולות רגישות. כך אפשר למנוע ממבצעי תקיפות לפגוע בחשבון אדמין ולחסום את הגישה של משתמשים אחרים עם הרשאת אדמין.

הפעלת אימות רב-גורמי (MFA), שנקרא גם אימות דו-שלבי (2SV), לכל חשבונות Google ולכל המשתמשים ב-Cloud Identity, ולא רק לאדמינים ראשיים. אימות דו-שלבי לסופר-אדמינים מופעל כברירת מחדל. אימות רב-שלבי מוסיף עוד שכבת הגנה, כי סיסמאות לבד לרוב לא מספיקות כאמצעי אבטחה.

מסירים את התפקידים 'יצירת פרויקטים' ו'יצירת חשבונות לחיוב' שמוקצים כברירת מחדל לכל החברים בארגון חדש.

בארגונים חדשים, התפקידים 'יצירת פרויקטים' ו'יצירת חשבון לחיוב' מוקצים לכל הזהויות המנוהלות של המשתמשים בדומיין. התפקידים האלה שימושיים להתחלה, אבל ההגדרה הזו לא מיועדת לסביבות ייצור. אם מאפשרים לחשבונות לחיוב להתרבות, זה מוביל להגדלת התקורה הניהולית וגורם להשלכות טכניות כשמפצלים שירותים בין כמה חשבונות לחיוב. אם מאפשרים יצירת פרויקטים חופשית, יכול להיות שייווצרו פרויקטים שלא עומדים בדרישות של כללי הממשל.

במקום זאת, צריך להסיר את התפקידים האלה וליצור תהליך ליצירת פרויקטים כדי לבקש פרויקטים חדשים ולשייך אותם לחיוב.

משתמשים ב-Privileged Access Manager לניהול גישה עם הרשאות מיוחדות. לכל שאר סוגי הגישה, כדאי להשתמש בקבוצות גישה, להגדיר שחברות בקבוצות תפוג באופן אוטומטי ולהטמיע תהליך עבודה לאישור חברות בקבוצות.

שימוש במודל של הרשאות מינימליות מאפשר לכם לספק גישה רק כשצריך, למשאבים שנדרשים. השימוש בתפקידים מוגדרים מראש מפשט את השימוש ומצמצם את ההתפשטות שנגרמת על ידי תפקידים בהתאמה אישית, כך שלא צריך לדאוג לניהול מחזור החיים של התפקיד.

משתמשים באילוץ בוליאני automaticIamGrantsForDefaultServiceAccountsכדי להשבית את מתן התפקידים האוטומטי כששירותים יוצרים באופן אוטומטי חשבונות שירות שמוגדרים כברירת מחדל עם תפקידים שכוללים הרשאות רבות מדי. Google Cloud

כברירת מחדל, מערכות מסוימות מעניקות הרשאות רחבות מדי לחשבונות אוטומטיים, וזה עלול להוות סיכון אבטחה. לדוגמה, אם לא אוכפים את האילוץ הזה ויוצרים חשבון שירות שמוגדר כברירת מחדל, חשבון השירות מקבל אוטומטית את התפקיד 'עריכה' (roles/editor) בפרויקט. אם תוקף יפרוץ לחלק אחד במערכת, הוא יוכל להשיג שליטה על הפרויקט כולו. ההגבלה הזו משביתה את ההרשאות האוטומטיות ברמה גבוהה, ומחייבת גישה יותר מאובטחת ומכוונת שבה ניתנות רק ההרשאות המינימליות הנדרשות.

אם אתם חייבים להשתמש במפתחות של חשבונות שירות, הקפידו להחליף את המפתחות לפחות פעם אחת כל 90 יום.

מרווח החלפה מגביל את משך הזמן שבו לתוקף יכולה להיות גישה למערכת. אם לא מגדירים מרווח זמן לרוטציה, לתוקף תהיה גישה לנצח. במקרים שבהם אפשר, מומלץ להשתמש באיחוד שירותי אימות הזהות של עומסי עבודה במקום במפתחות של חשבונות שירות.

משתמשים באיחוד שירותי אימות הזהות של עומסי עבודה כדי לאפשר למערכות CI/CD ולעומסי עבודה שפועלים בעננים אחרים לבצע אימות ל- Google Cloud. איחוד שירותי אימות הזהות של עומסי עבודה מאפשר לעומסי עבודה שפועלים מחוץ ל- Google Cloud לעבור אימות בלי שיידרש מפתח של חשבון שירות. איחוד שירותי אימות הזהות של עומסי עבודה מאפשר לכם להימנע משימוש במפתחות של חשבונות שירות ובפרטי כניסה אחרים לטווח ארוך, וכך לצמצם את הסיכון לדליפת פרטי כניסה.

כברירת מחדל, האפשרות לשחזור עצמי של חשבון סופר-אדמין מושבתת אצל לקוחות חדשים. עם זאת, יכול להיות שההגדרה הזו מופעלת אצל לקוחות קיימים. השבתת ההגדרה הזו עוזרת לצמצם את הסיכון שטלפון שנפרץ, אימייל שנפרץ או מתקפת הנדסה חברתית יאפשרו לתוקף לקבל הרשאות סופר-אדמין בסביבה שלכם.

כדאי לתכנן תהליך פנימי שבו סופר-אדמין יכול לפנות לסופר-אדמין אחר בארגון אם הוא איבד את הגישה לחשבון שלו, ולוודא שכל הסופר-אדמינים מכירים את התהליך לשחזור חשבון בעזרת התמיכה.

כדי להשבית את התכונה, עוברים להגדרות שחזור החשבון במסוף Google Admin.

במקרים רגישים, כדאי להגדיר את תוקף של סשן במצב לא פעיל ל-15 דקות. תוקפים עלולים להשתמש בסשנים לא פעילים כדי לגנוב פרטי כניסה.

אם אפשר, כדאי לספק מפתחות אבטחה פיזיים לסופר-אדמינים או לאדמינים ארגוניים כגורם אימות שני. חשבונות סופר-אדמין הם היעדים הכי חשובים להתקפות מתוחכמות. מפתחות אבטחה פיזיים מספקים רמת הגנה גבוהה כי הם עמידים בפני פישינג. מפתחות אבטחה פיזיים הם אמצעי ההגנה החזק ביותר מפני השתלטות על חשבונות של האדמינים החשובים ביותר בארגון, והם מבוססים על מדיניות האימות הדו-שלבי הרגילה שלכם.

אם אתם משתמשים בספק זהויות חיצוני, צריך להגדיר אימות אחרי כניסה יחידה.

הפעלה של שכבת בקרה נוספת על סמך ניתוח רמת הסיכון של הכניסה לחשבון Google. אחרי שמחילים את ההגדרה הזו, יכול להיות שיוצגו למשתמשים אתגרי אימות זהות נוספים לכניסה לחשבון שמבוססים על רמת הסיכון, אם Google תקבע שכניסת משתמש לחשבון היא חשודה.

הפעלה של כללי מדיניות של גבולות גישה של ישויות (PAB) כדי להגביל את הגישה של הישויות המורשות ולעזור בהגנה מפני פישינג וזליגת נתונים. כדי למנוע מתקפות פישינג חיצוניות, מומלץ להפעיל מדיניות של גבולות לארגון. הגדרת גבולות גישה של ישויות מאפשרת לשפר את האבטחה על ידי צמצום היקף המתקפה במקרה של זהות שנפרצה, וגם עוזרת למנוע מתקפות פישינג חיצוניות ומתקפות אחרות של דליפת נתונים.