Panduan autentikasi dan otorisasi

Tentukan sumber tepercaya Anda untuk menyediakan identitas pengguna terkelola. Pola ini mencakup pembuatan identitas pengguna di Cloud Identity, menyinkronkan identitas dari penyedia identitas yang ada, atau menggunakan Workforce Identity Federation.

Tidak memiliki satu-satunya admin super atau Administrator Organisasi. Buat satu atau beberapa (hingga 20) akun administrator cadangan. Satu-satunya admin super atau Administrator Organisasi dapat menyebabkan skenario terkunci. Situasi ini juga membawa risiko yang lebih tinggi karena satu orang dapat membuat perubahan yang memengaruhi platform, yang berpotensi tanpa pengawasan.

Menerapkan sandi yang kuat dan unik untuk semua akun pengguna. Pertimbangkan untuk menggunakan pengelola sandi. Kredensial yang lemah atau tidak ada adalah pola umum yang dapat dengan mudah dieksploitasi oleh pengguna berbahaya.

Gunakan peran Identity and Access Management (IAM) yang didasarkan pada fungsi tugas untuk menetapkan izin kepada pengguna. Fungsi tugas adalah peran bawaan yang memungkinkan admin memberikan serangkaian izin yang terbatas pada fungsi tugas, sehingga meningkatkan produktivitas dan mengurangi bolak-balik meminta izin. Untuk lebih menyelaraskan dengan persyaratan organisasi Anda, Anda dapat membuat peran khusus berdasarkan peran bawaan.

Gunakan batasan boolean iam.disableServiceAccountKeyCreation untuk menonaktifkan pembuatan kunci akun layanan eksternal. Batasan ini memungkinkan Anda mengontrol penggunaan kredensial jangka panjang yang tidak dikelola untuk akun layanan. Jika batasan ini ditetapkan, Anda tidak dapat membuat kredensial yang dikelola pengguna untuk akun layanan di project yang terpengaruh oleh batasan tersebut.

Menetapkan kebijakan seluruh organisasi untuk mencegah penambahan anggota eksternal ke Google Grup.

Secara default, akun pengguna eksternal dapat ditambahkan ke grup di Cloud Identity. Sebaiknya Anda mengonfigurasi setelan berbagi agar pemilik grup tidak dapat menambahkan anggota eksternal.

Perhatikan bahwa pembatasan ini tidak berlaku untuk akun admin super atau untuk administrator yang didelegasikan lainnya dengan izin admin Grup Google. Karena federasi dari penyedia identitas Anda berjalan dengan hak istimewa administrator, setelan berbagi grup tidak berlaku untuk sinkronisasi grup ini. Sebaiknya tinjau kontrol di penyedia identitas dan mekanisme sinkronisasi untuk memastikan bahwa anggota non-domain tidak ditambahkan ke grup, atau Anda menerapkan batasan grup.

Setel durasi sesi untuk Google Cloud layanan agar berakhir setidaknya sekali sehari. Membiarkan akun tetap login dalam jangka waktu yang lama merupakan risiko keamanan. Menerapkan durasi sesi maksimum akan otomatis mengakhiri sesi setelah waktu yang ditetapkan, sehingga memaksa login baru yang aman.

Praktik ini mengurangi peluang pengguna berbahaya menggunakan sandi yang dicuri dan memastikan akses diverifikasi ulang secara rutin.

Jangan izinkan akun konsumen yang tidak dikelola. Gabungkan semua akun konsumen yang tidak dikelola, dan pertimbangkan solusi untuk mencegah pembuatan akun konsumen yang tidak dikelola lebih lanjut dengan domain Anda.

Akun konsumen yang tidak dikelola tidak diatur oleh proses joiner-mover-leaver (JML) Anda, sehingga menimbulkan risiko bahwa karyawan masih memiliki akses ke resource Anda setelah mereka keluar dari pekerjaannya. Akun ini juga diperlakukan sebagai eksternal terkait dengan kontrol seperti berbagi yang dibatasi domain.

Pastikan akun admin super terpisah dari akun pengguna sehari-hari. Akun admin super harus berupa akun khusus yang hanya digunakan saat membuat perubahan penting. Untuk meningkatkan keamanan, aktifkan persetujuan banyak pihak untuk tindakan admin. Mengaktifkan persetujuan banyak pihak berarti tindakan sensitif disetujui oleh dua administrator, yang membantu mencegah penyerang membahayakan akun admin dan mengunci pengguna admin lainnya.

Aktifkan autentikasi multi-faktor (MFA), yang juga dikenal sebagai autentikasi 2 langkah (2SV) untuk semua pengguna Akun Google dan Cloud Identity, bukan hanya admin super. MFA untuk admin super diaktifkan secara default. MFA menambahkan lapisan pertahanan lain karena sandi saja sering kali tidak cukup kuat sebagai langkah keamanan.

Hapus peran Project Creator dan Billing Account Creator di seluruh domain yang diberikan secara default kepada semua anggota di organisasi baru.

Organisasi baru memberikan peran Project Creator dan Billing Account Creator kepada semua identitas pengguna terkelola di domain. Meskipun berguna untuk memulai, konfigurasi ini tidak ditujukan untuk lingkungan produksi. Membiarkan akun penagihan berkembang biak menyebabkan peningkatan biaya administrasi dan memiliki konsekuensi teknis saat memisahkan layanan di beberapa Akun Penagihan. Mengizinkan pembuatan project bentuk bebas dapat menyebabkan project yang tidak mematuhi konvensi tata kelola Anda.

Sebagai gantinya, hapus peran ini dan buat proses pembuatan project untuk meminta project baru dan mengaitkannya dengan penagihan.

Gunakan Privileged Access Manager untuk mengelola akses dengan hak istimewa. Untuk semua akses lainnya, gunakan grup akses, biarkan keanggotaan grup berakhir secara otomatis, dan terapkan alur kerja persetujuan untuk keanggotaan grup.

Dengan menggunakan model hak istimewa terendah, Anda hanya dapat memberikan akses saat diperlukan, untuk resource yang dibutuhkan. Penggunaan peran bawaan menyederhanakan penggunaan dan mengurangi penyebaran yang disebabkan oleh peran kustom sehingga Anda tidak perlu khawatir tentang pengelolaan siklus proses peran.

Gunakan batasan boolean automaticIamGrantsForDefaultServiceAccounts untuk menonaktifkan pemberian peran otomatis saat Google Cloud layanan otomatis membuat akun layanan default dengan peran yang terlalu permisif.

Secara default, beberapa sistem memberikan izin yang terlalu luas ke akun otomatis, yang merupakan potensi risiko keamanan. Misalnya, jika Anda tidak menerapkan batasan ini dan Anda membuat akun layanan default, akun layanan tersebut akan otomatis diberi peran Editor (roles/editor) di project Anda. Jika penyerang menyusupi satu bagian sistem, mereka dapat mengontrol seluruh project. Batasan ini menonaktifkan izin otomatis tingkat tinggi tersebut, sehingga memaksa pendekatan yang lebih aman dan disengaja, di mana hanya izin yang diperlukan minimal yang diberikan.

Jika Anda harus menggunakan kunci akun layanan, rotasi kunci setidaknya sekali setiap 90 hari.

Interval rotasi membatasi berapa lama penyerang dapat memiliki akses ke sistem. Tanpa interval rotasi, penyerang akan memiliki akses selamanya. Jika memungkinkan, pertimbangkan untuk menggunakan Workload Identity Federation, bukan kunci akun layanan.

Gunakan Workload Identity Federation agar sistem CI/CD dan workload yang berjalan di cloud lain dapat melakukan autentikasi ke Google Cloud. Workload Identity Federation memungkinkan beban kerja yang berjalan di luar Google Cloud melakukan autentikasi tanpa memerlukan kunci akun layanan. Dengan menghindari kunci akun layanan dan kredensial lain yang aktif dalam waktu lama, Workload Identity Federation dapat membantu Anda mengurangi risiko kebocoran kredensial.

Secara default, pemulihan mandiri akun admin super dinonaktifkan untuk pelanggan baru. Namun, pelanggan lama mungkin mengaktifkan setelan ini. Menonaktifkan setelan ini membantu mengurangi risiko bahwa ponsel yang disusupi, email yang disusupi, atau serangan manipulasi psikologis dapat memungkinkan penyerang mendapatkan hak istimewa admin super atas lingkungan Anda.

Rencanakan proses internal bagi admin super untuk menghubungi admin super lain di organisasi Anda jika mereka kehilangan akses ke akun mereka, dan pastikan semua admin super memahami proses pemulihan yang dibantu dukungan.

Untuk menonaktifkan fitur ini, buka setelan pemulihan akun di konsol Google Admin.

Tetapkan waktu tunggu sesi tidak ada aktivitas menjadi 15 menit untuk kasus penggunaan sensitif. Sesi yang tidak aktif dapat digunakan oleh penyerang untuk pencurian kredensial.

Berikan kunci keamanan hardware, jika memungkinkan, kepada admin super atau Administrator Organisasi sebagai faktor kedua. Akun admin super adalah target bernilai tertinggi untuk serangan canggih. Kunci keamanan hardware memberikan tingkat perlindungan yang tinggi karena tahan terhadap phishing. Kunci keamanan hardware adalah pertahanan terkuat terhadap pengambilalihan akun untuk administrator yang paling penting dan dibuat berdasarkan kebijakan MFA standar Anda.

Jika Anda menggunakan penyedia identitas eksternal, siapkan verifikasi pasca-SSO.

Aktifkan lapisan kontrol tambahan berdasarkan analisis risiko login Google. Setelah Anda menerapkan setelan ini, pengguna mungkin melihat verifikasi login berbasis risiko tambahan saat login jika Google menentukan bahwa login pengguna mencurigakan.

Aktifkan kebijakan batas akses utama (PAB) untuk membatasi akses utama dan membantu melindungi dari phishing dan pemindahan data yang tidak sah. Aktifkan kebijakan batas untuk organisasi guna menghindari serangan phishing eksternal. Batas akses utama meningkatkan keamanan dengan mengurangi tingkat serangan dengan identitas yang disusupi, dan juga membantu mencegah serangan phishing eksternal dan serangan eksfiltrasi lainnya.