Diretrizes de autenticação e autorização

Decida qual será a fonte de verdade para provisionar identidades de usuários gerenciadas. Os padrões incluem a criação de identidades de usuário no Cloud Identity, a sincronização de identidades de um provedor de identidade atual ou o uso da Federação de identidade de colaboradores.

Não ter um único superadministrador ou administrador da organização. Crie uma ou mais (até 20) contas de administrador de backup. Um único superadministrador ou administrador da organização pode resultar em cenários de bloqueio. Essa situação também acarreta um risco maior, já que uma pessoa pode fazer mudanças que alteram a plataforma, possivelmente sem supervisão.

Aplique senhas fortes e exclusivas para todas as contas de usuário. Considere usar um gerenciador de senhas. Credenciais fracas ou inexistentes são um padrão comum que usuários maliciosos podem explorar facilmente.

Use papéis do Identity and Access Management (IAM) com base nas funções de trabalho para atribuir permissões aos usuários. As funções de trabalho são papéis predefinidos que permitem aos administradores fornecer um conjunto de permissões limitado a uma função de trabalho, melhorando a produtividade e reduzindo a troca de mensagens para pedir permissões. Para se alinhar melhor aos requisitos da sua organização, é possível criar papéis personalizados com base em papéis predefinidos.

Use a restrição booleana iam.disableServiceAccountKeyCreation para desativar a criação de chaves de conta de serviço externas. Com essa restrição, é possível controlar o uso de credenciais de longo prazo não gerenciadas para contas de serviço. Quando essa restrição é definida, não é possível criar credenciais gerenciadas pelo usuário para contas de serviço em projetos afetados por ela.

Defina políticas para toda a organização e impeça a adição de membros externos aos Grupos do Google.

Por padrão, as contas de usuário externas podem ser adicionadas a grupos no Cloud Identity. Recomendamos que você defina configurações de compartilhamento para que os proprietários dos grupos não possam adicionar membros externos.

Essa restrição não se aplica à conta de superadministrador ou a outros administradores delegados com permissões de administrador do Grupos do Google. Como a federação do seu provedor de identidade é executada com privilégios de administrador, as configurações de compartilhamento de grupo não se aplicam a essa sincronização de grupo. Recomendamos que você revise os controles no provedor de identidade e no mecanismo de sincronização para garantir que participantes que não sejam do domínio não sejam adicionados a grupos ou que você aplique restrições de grupo.

Defina a duração da sessão para os serviços Google Cloud para que ela expire pelo menos uma vez por dia. Manter uma conta conectada por um longo período é um risco de segurança. A aplicação de uma duração máxima da sessão encerra automaticamente a sessão após um determinado período, forçando um novo login seguro.

Essa prática reduz a oportunidade de um usuário mal-intencionado usar uma senha roubada e garante que o acesso seja verificado regularmente.

Não permitir contas pessoais não gerenciadas. Consolide todas as contas pessoais não gerenciadas e considere uma solução para evitar a criação de mais contas pessoais não gerenciadas com seu domínio.

As contas pessoais não gerenciadas não são regidas pelos processos de admissão, movimentação e desligamento (JML, na sigla em inglês). Por isso, há o risco de um funcionário ainda ter acesso aos seus recursos depois de sair do emprego. Essas contas também são tratadas como externas em relação a controles como o compartilhamento restrito de domínio.

Verifique se as contas de superadministrador estão separadas das contas de usuário do dia a dia. As contas de superadministrador precisam ser dedicadas e usadas apenas para fazer mudanças importantes. Para aumentar a segurança, ative a aprovação de outra parte para ações de admin. Ao ativar a aprovação de outra parte, as ações sensíveis são aprovadas por dois administradores. Isso ajuda a evitar que invasores comprometam uma conta de administrador e bloqueiem outros usuários administradores.

Ative a autenticação multifator (MFA), também conhecida como verificação em duas etapas (2SV), para todas as Contas do Google e usuários do Cloud Identity, não apenas superadministradores. A MFA para superadministradores fica ativada por padrão. A MFA adiciona outra camada de defesa porque as senhas sozinhas geralmente não são uma medida de segurança forte o suficiente.

Remova os papéis de Criador de projetos e Criador da conta de faturamento em todo o domínio, que são concedidos por padrão a todos os membros de uma nova organização.

As novas organizações concedem os papéis de Criador de projetos e Criador da conta de faturamento a todas as identidades de usuário gerenciadas no domínio. Embora essas funções sejam úteis para começar, essa configuração não é destinada a ambientes de produção. Permitir que as contas de faturamento proliferem aumenta a sobrecarga administrativa e tem consequências técnicas ao dividir serviços em várias contas de faturamento. Permitir a criação de projetos de forma livre pode levar a projetos que não seguem suas convenções de governança.

Em vez disso, remova essas funções e estabeleça um processo de criação de projetos para solicitar novos projetos e associá-los ao faturamento.

Use o Privileged Access Manager para gerenciar o acesso privilegiado. Para todo o restante, use grupos de acesso, deixe as associações a grupos expirarem automaticamente e implemente um fluxo de trabalho de aprovação para associações a grupos.

Com o modelo de privilégio mínimo, você só concede acesso quando necessário e aos recursos necessários. O uso de papéis predefinidos simplifica o uso e reduz a expansão causada por papéis personalizados para que você não precise se preocupar em gerenciar o ciclo de vida do papel.

Use a restrição booleana automaticIamGrantsForDefaultServiceAccounts para desativar as concessões automáticas de papéis quando os serviços do Google Cloud criarem automaticamente contas de serviço padrão com papéis excessivamente permissivos.

Por padrão, alguns sistemas concedem permissões muito amplas a contas automatizadas, o que representa um possível risco à segurança. Por exemplo, se você não aplicar essa restrição e criar uma conta de serviço padrão, ela vai receber automaticamente o papel de Editor (roles/editor) no projeto. Se um invasor comprometer uma única parte do sistema, ele poderá assumir o controle de todo o projeto. Essa restrição desativa as permissões automáticas de alto nível, forçando uma abordagem mais segura e deliberada em que apenas as permissões mínimas necessárias são concedidas.

Se você precisar usar chaves de conta de serviço, troque-as pelo menos uma vez a cada 90 dias.

Um intervalo de rotação limita o tempo que um invasor pode ter acesso ao sistema. Sem um intervalo de rotação, o invasor tem acesso para sempre. Quando possível, use a federação de identidade da carga de trabalho em vez de chaves de conta de serviço.

Use a federação de identidade da carga de trabalho para permitir que sistemas de CI/CD e cargas de trabalho executadas em outras nuvens se autentiquem no Google Cloud. Com a federação de identidade da carga de trabalho, as cargas de trabalho executadas fora do Google Cloud podem ser autenticadas sem precisar de uma chave de conta de serviço. Ao evitar chaves de conta de serviço e outras credenciais de longa duração, a federação de identidade da carga de trabalho pode ajudar a reduzir o risco de vazamento de credenciais.

Por padrão, a recuperação automática da conta de superadministrador fica desativada para novos clientes. No entanto, os clientes atuais podem ter essa configuração ativada. Desativar essa configuração ajuda a reduzir o risco de que um telefone ou e-mail comprometido ou um ataque de engenharia social possa permitir que um invasor receba privilégios de superadministrador sobre seu ambiente.

Planeje um processo interno para que um superadministrador entre em contato com outro superadministrador da organização se perder o acesso à conta e garanta que todos os superadministradores conheçam o processo de recuperação assistida por suporte.

Para desativar o recurso, acesse as configurações de recuperação de conta no Google Admin Console.

Defina o tempo limite da sessão inativa como 15 minutos para casos de uso sensíveis. Sessões inativas podem ser usadas por invasores para roubo de credenciais.

Se possível, forneça chaves de segurança de hardware para superadministradores ou administradores da organização como um segundo fator. As contas de superadministrador são os alvos de maior valor para ataques sofisticados. As chaves de segurança de hardware oferecem um alto nível de proteção porque são resistentes a phishing. As chaves de segurança de hardware são a defesa mais forte possível contra o sequestro de contas para seus administradores mais importantes e se baseiam na sua política padrão de MFA.

Se você estiver usando um provedor de identidade externo, configure a verificação pós-SSO.

Ative uma camada adicional de controle com base na análise de risco de login do Google. Depois que você aplicar essa configuração, os usuários poderão ver outros desafios de login com base em riscos no login se o Google determinar que um login de usuário é suspeito.

Ative as políticas de limite de acesso principal (PAB) para limitar o acesso principal e ajudar a proteger contra phishing e exfiltração de dados. Ative uma política de limite para a organização e evite ataques de phishing externos. Os limites de acesso do principal melhoram a segurança ao reduzir a extensão de um ataque com uma identidade comprometida e também ajudam a evitar ataques externos de phishing e outros ataques de exfiltração.