Linee guida per l'autenticazione e l'autorizzazione

Decidi la fonte attendibile per il provisioning delle identità utente gestite. I pattern includono la creazione di identità utente in Cloud Identity, la sincronizzazione delle identità da un provider di identità esistente o l'utilizzo della federazione delle identità per la forza lavoro.

Non avere un singolo super amministratore o amministratore dell'organizzazione. Crea uno o più (fino a 20) account amministratore di backup. Un unico super amministratore o Amministratore organizzazione può causare scenari di blocco. Questa situazione comporta anche un rischio maggiore, in quanto una persona può apportare modifiche alla piattaforma, potenzialmente senza supervisione.

Applica password efficaci e univoche per tutti gli account utente. Valuta la possibilità di utilizzare un gestore delle password. Le credenziali deboli o assenti sono un pattern comune che gli utenti malintenzionati possono sfruttare facilmente.

Utilizza i ruoli Identity and Access Management (IAM) basati sulle funzioni lavorative per assegnare le autorizzazioni agli utenti. Le funzioni lavorative sono ruoli predefiniti che consentono agli amministratori di fornire un insieme di autorizzazioni limitate a una funzione lavorativa, migliorando così la produttività e riducendo le richieste di autorizzazioni. Per allinearti meglio ai requisiti della tua organizzazione, puoi creare ruoli personalizzati in base a ruoli predefiniti.

Utilizza il vincolo booleano iam.disableServiceAccountKeyCreation per disattivare la creazione di chiavi esterne del account di servizio. Questo vincolo consente di controllare l'utilizzo di credenziali a lungo termine non gestite per i service account. Quando questo vincolo è impostato, non puoi creare credenziali gestite dall'utente per i service account nei progetti interessati dal vincolo.

Imposta criteri a livello di organizzazione per impedire l'aggiunta di membri esterni a Google Gruppi.

Per impostazione predefinita, gli account utente esterni possono essere aggiunti ai gruppi in Cloud Identity. Ti consigliamo di configurare le impostazioni di condivisione in modo che i proprietari dei gruppi non possano aggiungere membri esterni.

Tieni presente che questa limitazione non si applica all'account super amministratore o ad altri amministratori delegati con autorizzazioni di amministratore di Google Gruppi. Poiché la federazione dal tuo provider di identità viene eseguita con privilegi di amministratore, le impostazioni di condivisione del gruppo non si applicano a questa sincronizzazione del gruppo. Ti consigliamo di esaminare i controlli nel provider di identità e nel meccanismo di sincronizzazione per assicurarti che i membri non appartenenti al dominio non vengano aggiunti ai gruppi o di applicare restrizioni ai gruppi.

Imposta la durata della sessione per i servizi Google Cloud in modo che scada almeno una volta al giorno. Lasciare un account connesso per un periodo di tempo prolungato è un rischio per la sicurezza. L'applicazione di una durata massima della sessione termina automaticamente la sessione dopo un determinato periodo di tempo, forzando un nuovo accesso sicuro.

Questa pratica riduce la possibilità che un utente malintenzionato utilizzi una password rubata e garantisce che l'accesso venga verificato regolarmente.

Non consentire account consumer non gestiti. Consolida tutti gli account consumer non gestiti e valuta una soluzione per impedire la creazione di ulteriori account consumer non gestiti con il tuo dominio.

Gli account consumer non gestiti non sono regolati dalle procedure di gestione di nuovi dipendenti, trasferimenti e cessazioni del rapporto di lavoro (JML), pertanto introducono il rischio che un dipendente abbia ancora accesso alle tue risorse dopo aver lasciato il lavoro. Questi account vengono trattati anche come esterni per quanto riguarda i controlli come la condivisione con limitazioni del dominio.

Assicurati che gli account super amministratore siano separati dagli account utente quotidiani. Gli account super amministratore devono essere account dedicati utilizzati solo per apportare modifiche critiche. Per una maggiore sicurezza, attiva l'approvazione da più parti per le azioni amministrative. L'attivazione dell'approvazione da più parti significa che le azioni sensibili vengono approvate da due amministratori, il che contribuisce a impedire agli autori degli attacchi di compromettere un account amministratore e bloccare altri utenti amministratore.

Attiva l'autenticazione a più fattori (MFA), nota anche come verifica in due passaggi (V2P), per tutti gli utenti di Account Google e Cloud Identity, non solo per i super amministratori. L'MFA per i super amministratori è abilitata per impostazione predefinita. L'autenticazione a più fattori aggiunge un ulteriore livello di difesa perché le password da sole spesso non sono una misura di sicurezza sufficientemente efficace.

Rimuovi i ruoli Autore progetto e Creatore account di fatturazione a livello di dominio concessi per impostazione predefinita a tutti i membri di una nuova organizzazione.

Le nuove organizzazioni concedono i ruoli Autore progetto e Creatore account di fatturazione a tutte le identità utente gestite nel dominio. Sebbene questi ruoli siano utili per iniziare, questa configurazione non è pensata per gli ambienti di produzione. La proliferazione degli account di fatturazione comporta un aumento dei costi amministrativi e ha conseguenze tecniche quando i servizi vengono suddivisi in più account di fatturazione. Consentire la creazione di progetti in formato libero può portare a progetti che non rispettano le convenzioni di governance.

Rimuovi questi ruoli e crea una procedura di creazione dei progetti per richiedere nuovi progetti e associarli alla fatturazione.

Utilizza Privileged Access Manager per gestire l'accesso con privilegi. Per tutti gli altri accessi, utilizza i gruppi di accesso, lascia che le appartenenze ai gruppi scadano automaticamente e implementa un flusso di lavoro di approvazione per le appartenenze ai gruppi.

L'utilizzo del modello di privilegio minimo ti consente di fornire l'accesso solo quando necessario, per le risorse necessarie. L'utilizzo di ruoli predefiniti semplifica l'uso e riduce la proliferazione causata dai ruoli personalizzati, in modo da non doverti preoccupare della gestione del ciclo di vita dei ruoli.

Utilizza il vincolo booleano automaticIamGrantsForDefaultServiceAccounts per disattivare le concessioni automatiche dei ruoli quando i servizi creano automaticamente service account predefiniti con ruoli eccessivamente permissivi. Google Cloud

Per impostazione predefinita, alcuni sistemi concedono autorizzazioni eccessivamente ampie agli account automatici, il che rappresenta un potenziale rischio per la sicurezza. Ad esempio, se non applichi questo vincolo e crei un account di servizio predefinito, a quest'account di servizio viene concesso automaticamente il ruolo Editor (roles/editor) nel tuo progetto. Se un malintenzionato compromette una sola parte del sistema, potrebbe ottenere il controllo dell'intero progetto. Questo vincolo disattiva le autorizzazioni automatiche di alto livello, imponendo un approccio più sicuro e deliberato in cui vengono concesse solo le autorizzazioni minime necessarie.

Se devi utilizzare le chiavi del account di servizio, ruotale almeno una volta ogni 90 giorni.

Un intervallo di rotazione limita il periodo di tempo in cui un malintenzionato può accedere al sistema. Senza un intervallo di rotazione, l'aggressore ha accesso per sempre. Se possibile, valuta la possibilità di utilizzare la federazione delle identità per i workload anziché le chiavi dei account di servizio.

Utilizza la federazione delle identità per i workload per consentire ai sistemi CI/CD e ai workload in esecuzione su altri cloud di autenticarsi su Google Cloud. La federazione delle identità per i workload consente ai workload eseguiti al di fuori di Google Cloud di autenticarsi senza richiedere una chiave del account di servizio. Evitando le chiavi dei account di servizio e altre credenziali di lunga durata, la federazione delle identità per i workload può aiutarti a ridurre il rischio di divulgazione delle credenziali.

Per impostazione predefinita, il recupero autonomo dell'account super amministratore è disattivato per i nuovi clienti. Tuttavia, i clienti esistenti potrebbero aver attivato questa impostazione. La disattivazione di questa impostazione contribuisce a ridurre il rischio che uno smartphone compromesso, un'email compromessa o un attacco di ingegneria sociale consentano a un malintenzionato di ottenere privilegi di super amministratore sul tuo ambiente.

Pianifica una procedura interna per consentire a un super amministratore di contattare un altro super amministratore della tua organizzazione se ha perso l'accesso al proprio account e assicurati che tutti i super amministratori conoscano la procedura di recupero assistito dall'assistenza.

Per disattivare la funzionalità, vai alle impostazioni di recupero dell'account nella Console di amministrazione Google.

Imposta il timeout della sessione inattiva su 15 minuti per i casi d'uso sensibili. Le sessioni inattive potrebbero essere utilizzate dai malintenzionati per il furto di credenziali.

Se possibile, fornisci token di sicurezza fisici a super amministratori o amministratori dell'organizzazione come secondo fattore. Gli account super amministratore sono gli obiettivi di maggior valore per gli attacchi sofisticati. I token di sicurezza hardware offrono un elevato livello di protezione perché sono resistenti al phishing. I token di sicurezza hardware sono la difesa più efficace possibile contro l'acquisizione dell'account per gli amministratori più importanti e si basano sulla tua policy MFA standard.

Se utilizzi un provider di identità esterno, configura la verifica post-SSO.

Attiva un ulteriore livello di controllo in base all'analisi del rischio associato all'accesso effettuata da Google. Dopo aver applicato questa impostazione, gli utenti potrebbero dover sostenere ulteriori verifiche dell'accesso basate sul rischio al momento dell'accesso se Google determina che l'accesso di un utente è sospetto.

Abilita le policy di Principal Access Boundary (PAB) per limitare l'accesso alle entità e contribuire a proteggere da phishing ed esfiltrazione di dati. Attiva una policy perimetrale per l'organizzazione per evitare attacchi di phishing esterni. I confini di accesso del principal migliorano la sicurezza riducendo l'entità di un attacco con un'identità compromessa e contribuiscono anche a prevenire attacchi di phishing esterni e altri attacchi di esfiltrazione.